Patch-Analyse: Sicherheitslücken automatisch ausnutzen

Forscher erzeugten Schadcode automatisiert basierend auf Sicherheits-Patches

Anhand von Sicherheits-Patches für Software haben Forscher einen Automatismus entwickelt, um Schadcode zu generieren, der das zu schließende Sicherheitsleck ausnutzt. Solche Mechanismen könnten schon bald eine Gefahr für Anwender bedeuten, weil dadurch wenige Minuten nach Bereitstellung eines Patches bereits passender Schadcode im Internet auftauchen könnte.

Artikel veröffentlicht am ,

Gemeinsam haben die Forscher David Brumley und Pongsin Poosankam von der Carnegie Mellon School of Computer Science, Dawn Song von der Berkeley-Universität von Kalifornien sowie Jiang Zheng von der Universität in Pittsburgh untersucht, ob sich Sicherheitslücken automatisiert ausnutzen lassen, indem ein Sicherheits-Patch mit der Datei verglichen wird, in der ein Sicherheitsleck geschlossen werden soll.

Stellenmarkt
  1. Spezialist*in als Digitalisierungspartner*in im Landesbüro
    Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Kiew (Ukraine)
  2. Leiter IT-Infrastruktur/IT-Architek- tur (m/w/d)
    DRK-Blutspendedienst Baden-Württemberg - Hessen gem. GmbH, Baden-Baden
Detailsuche

Entsprechende Verfahren wurden auf fünf unterschiedliche Microsoft-Produkte angewandt, für die der Konzern Sicherheits-Patches bereitgestellt hatte. Bei diesen Verfahren gelang es wiederholt, innerhalb weniger Minuten automatisiert die betreffenden Sicherheitslecks auszunutzen und Applikationen zum Absturz zu bringen, wenn der Patch noch nicht eingespielt war. Nach mehreren Versuchen war es dann auch möglich, Schadcode einzuschleusen und auszuführen, was ebenfalls nach wenigen Minuten erledigt war. Die Forscher sehen damit ihre Hypothese belegt und warnen davor, dass diese Mechanismen schon bald Anwendung finden könnten.

Hierbei sehen sie als Problem, dass Anwender einem hohen Risiko ausgesetzt sind, wenn sie Sicherheits-Patches nicht unverzüglich einspielen. Hierbei helfe die automatische Update-Funktion des Betriebssystems nur bedingt, weil die Aktualisierungen nur schrittweise verteilt würden. Mehr als 80 Prozent der Windows-Anwender erhalten Patches demnach erst 24 Stunden nachdem diese veröffentlicht wurden. Dadurch hätten Angreifer bis zu 24 Stunden lang Zeit, eine solche Sicherheitslücke auszunutzen.

Daher fordern sie, dass Microsoft Sicherheits-Patches unmittelbar mit der Verfügbarkeit bei allen Anwendern einspielt, um das Risiko zu verringern, Opfer einer entsprechenden Attacke zu werden. Bei Serverprodukten und bei Applikationen im Unternehmenseinsatz ist ein solches Vorgehen allerdings kaum möglich, weil die Patches zuvor auf Verträglichkeit mit anderer Software geprüft werden müssen.

Ein ausführliches PDF-Dokument beschreibt die Vorgehensweise der Forscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


huahuahua 03. Mai 2008

Na, Forscher haben ja ein tolles Leben; da werden Millionen Forschungsgelder in...

childinsilence 25. Apr 2008

Naja es war bekannt, dass so etwas möglich ist, aber nicht ob es bereits von Hackern...

antitroll 25. Apr 2008

Das Problem ist aber eher zeitlicher Natur: (1) Sicherheitslücke entdeckt -> (2) Bugfix...

antitroll 25. Apr 2008

Mal ganz davon abgesehen ob das mit den Raubkopierern stimmt oder nicht: Dieses "immer...

Sukram71 25. Apr 2008

Wieso hat es eigentlich noch keiner geschafft, seine Schadsoftware als Windows-Update zu...



Aktuell auf der Startseite von Golem.de
Datenleck
Daten von 106 Millionen Thailand-Reisenden geleakt

In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Artikel
  1. Online-Shopping: Ebay Kleinanzeigen führt SMS-Verifizierung ein
    Online-Shopping
    Ebay Kleinanzeigen führt SMS-Verifizierung ein

    Wie angekündigt, beginnt Ebay Kleinanzeigen mit der Abfrage von Rufnummern. Zu Beginn ist es optional, schon bald wird es Pflicht.

  2. Eli Zero: Kleines E-Auto mit Türen und Fenstern kostet 12.000 Euro
    Eli Zero
    Kleines E-Auto mit Türen und Fenstern kostet 12.000 Euro

    Das minimalistische, vierrädrige Elektroauto Eli Zero soll für rund 12.000 Euro nach Europa kommen. Der Zweisitzer erinnert an den Smart.

  3. Unter 100 MBit/s: Bundesland fürchtet Graue-Flecken-Förderung zu verpassen
    Unter 100 MBit/s
    Bundesland fürchtet Graue-Flecken-Förderung zu verpassen

    Sachsen will mehr FTTH, gerade für ländliche Regionen. Doch der Wirtschaftsminister befürchtet, dass andere Bundesländer schneller sind.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PS5 bei Amazon zu gewinnen • Gaming-PC mit Ryzen 5 & RTX 3060 999€ • Corsair MP600 Pro 1TB mit Heatspreader PS5-kompatibel 162,90€ • Alternate (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) [Werbung]
    •  /