Absichern mit Bordmitteln

Die wichtigsten Sicherheitstipps für Windows

Zero-Day-Attacks – das Ende Ihres Netzes?

Sind die Rechte erst einmal möglichst restriktiv vergeben, die Systeme aktuell und durch proaktive Maßnahmen abgesichert sowie die Benutzer geschult, müssen weitere Schutzmaßnahmen ergriffen werden. So genannte Zero-Day-Angriffe, sprich: die Ausnutzung noch unbekannter Sicherheitslücken, lassen sich häufig auch mit den beschriebenen Methoden nicht verhindern.

Um diese Art von Attacken effektiv bekämpfen zu können, hat Microsoft (ab Vista) neue Funktionen in seine Betriebssysteme implementiert. Ein Beispiel ist die "Kernel Patch Protection" (auch "PatchGuard" genannt) auf x64-Vista-Systemen: Verändern Treiber einen geschützten Bereich des Kernels, wird das System sofort kontrolliert herunterfahren (BSoD, Blue Screen of Death). Da Systemtreiber und Kernel in allen Windows-Betriebssystemen im Kernel-Ring und mit gleichen Berechtigungen laufen, würde ansonsten Attacken aller Art Tür und Tor geöffnet.

Viele Zero-Day-Attacken beruhen auf Buffer Overflows - eine der am häufigsten ausgenutzten Schwachstellen in Betriebssystemen. Vereinfacht ausgedrückt versucht der Angreifer, zu viele Daten in einen zu kleinen reservierten Speicherbereich (Buffer) zu schreiben, um ihn zum Überlaufen zu bringen. Techniken, die dies verhindern sollen, sind in Nicht-Microsoft-Betriebssystemen schon länger im Einsatz. Seit Vista sind solche Schutzmechanismen auch in die Windows-Betriebssysteme für Clients und Server eingebaut.

Ein Beispiel hierfür ist die "Address Space Layout Randomization" (ASLR). Das Funktionsprinzip: Buffer Offerflows nutzen die streng sequenzielle Struktur von Heap, Stack und Co., um Adressen für Angriffe zu berechnen. Durch die zufällige Anordnung von Speicherbereichen (Randomization) wird die Ausnutzung von Overflows schwieriger. In Kombination damit sollte Data Execution Prevention (DEP) eingesetzt werden. Diese Funktion soll das Ausführen von Code aus bestimmten Speicherbereichen verhindern und wird von allen modernen CPUs unterstützt (NoeXecute-Bit). Doch bislang, selbst Jahre nach der Einführung, wird sie nur sehr sporadisch genutzt. Wer ihren Schutz möchte, sollte sie sorgfältig evaluieren und dann aktivieren, denn aus Gründen der Kompatibilität sind sie meist nicht aktiv.