Donnerstag, 20. Januar 2011

Windows: Ich weiß, was du alles verdreht hast!

Heise Online hat über ein interessantes Tool von Microsoft berichtet. Diesen Bericht möchte ich euch nicht vorenthalten.


Microsoft hat das kostenlose Tool Attack Surface Analyzer vorgestellt, das Änderungen im Windows-System nach der Installation einer Anwendung auffdecken soll. Das Tool zeigt laut Microsoft hinzugekommene Dateien, Registry-Schlüssel und ActiveX-Control auf und weist auf offene Serverports hin. Zudem bewertet es die Zugriffsrechte der hinzugekommenen Dateien.
Damit soll es in erster Linie Entwicklern möglich sein festzustellen, inwieweit ein Programm die Angriffsfläche auf einem Windows-PC vergrößert. Grundsätzlich können aber auch Administratoren und Endanwender damit herausfinden, ob die Installation eines Programms die Sicherheit negativ beeinflusst. Der Attack Surface Analyzer sucht jedoch nicht nach konkreten Schwachstellen in der installierten Software. Das als Beta-Version vorliegende Tool steht ab sofort zum Download bereit.




Nicht besonders kritisch, aber vermeidbar: ICQ setzt laut Tool die Zugriffsrechte auf installierte Dateien falsch. Um einen Report erstellen zu können, bedarf es eines Scans durch den Analyzer vor der Installation und nach der Installation des zu untersuchenden Programm. In einem kurzen Test der heise-Security-Redaktion mit dem Messenger ICQ unter Windows 7 bemängelte der Attack Surface Analyzer zu niedrig gesetzte Zugriffsrechte auf zahlreichen Installationsdateien. Damit sei es auch Nicht-Administratoren möglich, diese Dateien zu manipulieren. Denkbar wäre es, dass ein Angreifer mit eingeschränkten Rechten anderen Benutzern des gleichen PCs (mit einem anderen Konto) Schadcode unterschiebt.
Die Ankündigung des Tools erfolgte parallel zur Sicherheitskonferenz Black Hat. Dort hat Microsoft auch die aktualisierte Fassung 1.2 des BinScope Binary Analyzer vorgestellt, der Visual Studio 2010 unterstützt. Der BinScope Binary Analyzer überprüft binären Code darauf, ob alle empfohlenen und notwendigen Security Flags (/GS, /SafeSEH und andere), Schutzmechanismen (etwa /DYNAMICBASE für ALSR) und Kontrollen in der Software vorhanden respektive aktiviert sind. (dab)