Microsoft wirbt damit, dass Windows 10 das sicherte Windows aller Zeiten ist, um es an die Kunden zu bringen. Aber was bedeutet das und wo hilft Windows as a Service dabei? In einem neuen Blog-Beitrag legen die Entwickler offen, was sich in Windows 10 in Sachen Sicherheit so tut.
Anzeige
Anmerkung: Ziel ist es, die Kunden zum Umstieg auf Windows 10 zu bewegen. Der Blog-Beitrag Threat Mitigations in Windows 10 geht auf Probleme und Lösungen in Punkto Sicherheit ein.
Das Problem der Entwickler
Zuerst beleuchtet der Beitrag ein Dilemma, welches Entwickler haben. Bisher wurde alle paar Jahre eine neue Betriebssystemversion ausgerollt. In der Zwischenzeit entwickeln sich aber die Techniken für Angriffe auf Systeme sprunghaft weiter. Vor 10 Jahren gab es, laut Microsoft z.B. folgende Angriffstechniken für Exploits noch nicht:
- Stack overrun
- Return Address Corruption
- Shell Code
Inzwischen ist aber ein ganzer Sack an Techniken entstanden, um Schwachstellen im Betriebssystem auszunutzen. Microsoft nennt folgende Vertreter:
- ARW
- Sandbox bypass
- Heapspray
- Memory Corrupt
- CFG Bypass
- ASLR Bypass
- DEP Bypass
- ROP Shellcode
Das macht das Absichern eines Systems gegen Angriffe zur Herausforderung. Mit Windows as a service 'verspricht' Microsoft da ein wirksames Gegenmittel. Denn alle 6 Monate kann man mit einem neuen Feature Upgrade (Funktionsupdate genannt), auf diese Bedrohungen reagieren. Folgende Grafik von Microsoft zeigt die Abfolge der Windows 10-Versionen.
Anzeige
(Quelle: Microsoft)
Antimalware-Verbesserungen bei Windows 10
In jeder dieser Versionen hat Microsoft auf irgend eine Bedrohung reagiert und neue Techniken eingeführt.
- User Mode Font Driver (UMFD): Angriffe über Schriftartendaten (Fonts) aus Drittherstellerquellen sind ein Einfallsziel. Der Code zum Rendern der Schriften ist recht alt, gibt Microsoft zu. In Windows 10 RTM (TH1) wurde des Rendern der Fonts in einen App-Container verlagert (UMFD), so dass solche Angriffe ins Leere laufen sollen.
- Win32k Syscall Filtering: Das ist wohl das Angriffsziel Nummer 1, um aus einer Sandbox auszubrechen. Mit ca. 1200 API-Funktionen bietet Windows 10 eine große Angriffsfläche (NT hatte ca. 400 API-Funktionen). In Edge gibt es ein Syscall Filtering, über welches man einen Großteil der Angriffsfläche entschärfen will. [Problem in meinen Augen: Die Leute sind mit anderen Browsern unterwegs, das Feature ist nutzlos.]
- Less Privileged App Container (LPAC): App Container haben Zugriff auf alle Ressourcen der ALL APPLICATION PACKAGES SID: Die SID hat standardmäßig Leseberechtigung auf Ordner. LPAC ist eine in den Rechten beschränkte Version der App Container. Es verbietet standardmäßig den Zugriff auf alles. Dann kann explizit der Zugriff auf ein sicheres Objekt erfolgen, welchem explizit der Zugriff per LPAC gewährt wurde.
- Structured Exception Handling Overwrite Protection (SEHOP): Diese Funktion wurde entwickelt, um Exploits zu blockieren, die die Structured Exception Handler (SEH) Technik verwenden. Da dieser Schutzmechanismus zur Laufzeit bereitgestellt wird, hilft er, Anwendungen unabhängig davon zu schützen, ob sie mit den neuesten Verbesserungen kompiliert wurden oder nicht.
- Address Space Layout Randomization (ASLR): ASLR lädt DLLs in zufällige Speicheradressen beim Hochfahren. Dadurch wird Malware, die bestimmte Speicherorte (mit geladenen DLLs) angreifen soll, wirkungslos.
- Heap protections: Windows 10 enthält Schutzmaßnahmen für den Heap, wie z. B. Heap-Metadaten-Härtung für interne Datenstrukturen, die der Heap verwendet. Windows nutzt auch Heap-Zuweisung Randomisierung, d. h. die Verwendung von randomisierten Adressen und Größen für Heap-Speicherzuweisungen. Dies macht es für einen Angreifer schwieriger, den Ort des anzugreifenden Speichers vorherzusagen, und zu überschreiben. Heap Protection schützt auch Speicherseiten vor und nach Speicherblöcken, die als 'Stolperfallen' für Malware bereitgehalten werden. Wenn ein Angreifer versucht, an einem Block von Arbeitsspeicher vorbeizuschreiben (eine übliche Technik, die als Pufferüberlauf bezeichnet wird), muss der Angreifer eine Schutzseite überschreiben. Jeder Versuch, eine Schutzseite zu ändern, gilt als Speicherbeschädigung, und Windows 10 antwortet mit einem sofortigen Beenden der Anwendung.
- Kernel pool protections: Windows 10 enthält Schutzfunktionen wie Kernel DEP und Kernel ASLR für den Speicherpool, der vom Kernel verwendet wird. Beispielsweise schützt das sichere Entkoppeln vor Pool-Überläufen, die mit Entkoppelungsoperationen kombiniert werden, um einen Angriff zu erzeugen.
- Control Flow Guard: Control Flow Guard (CFG) ist eine Schutztechnik vor Malwareangriffen, die keine Konfiguration innerhalb des Betriebssystems erfordert, sondern beim Kompilieren in Software integriert werden kann. Die Technik ist in Microsoft Edge, im IE11 und in andere Funktionen von Windows 10 integriert. Es kann auch in Anwendungen eingebaut werden, wenn sie kompiliert werden.
CFG kann für eine solche Anwendung den Versuch eines Angreifers erkennen, den beabsichtigten Codefluss zu ändern. In diesem Fall beendet CFG die Anwendung. Administratoren können Softwareanbieter auffordern, Windows-Anwendungen mit aktivierter CFG-Kompilierung bereitzustellen.
- Protected Processes: Mit der Funktion verhindert Windows 10, dass nicht vertrauenswürdige Prozesse mit speziell signierten Prozessen interagieren oder diese manipulieren. Protected Processes definiert Vertrauensstufen für Prozesse. Weniger vertrauenswürdige Prozesse werden daran gehindert, mit vertrauenswürdigeren Prozessen zu interagieren und somit mehr vertrauenswürdige Prozesse anzugreifen. Windows 10 nutzt Protected Processes umfassender (als frühere Versionen) über das gesamte Betriebssystem hinweg, und zum ersten Mal können Sie Antimalware-Lösungen in den geschützten Prozessraum einbinden. Das trägt dazu bei, dass die System- und Antimalware-Lösungen weniger anfällig für Manipulationen durch Malware werden, die dann auf dem System landet.
- Universal Windows apps protections: Laden Benutzer Windows-Anwendungen oder sogar Windows Classic-Anwendungen (Win32) aus dem Windows-Store, verspricht Microsoft, dass es höchst unwahrscheinlich sei, dass diese Malware enthalten. Hintergrund ist, dass alle Anwendungen einen sorgfältigen Überprüfungsprozess durchlaufen, bevor sie im Store zur Verfügung gestellt werden. Apps, die Unternehmen im Rahmen von Sideloading-Prozessen erstellen und vertreiben, müssen intern überprüft werden, um sicherzustellen, dass sie die Sicherheitsanforderungen der Organisation erfüllen.
- No Child Proc: Angreifer können eine Sandbox austricksen, um einen Child-Prozess zu erstellen. Dieser Kindprozess könnte die Schutzmechanismen umgehen. Die No Child Proc-Option verhindert die Ausführung von Code durch das Starten eines Kindprozesses.
Es sind in der Tat eine Reihe cleverer Schutzmechanismen in Windows 10 integriert. Wenn ich aber schon lese, dass Store-Apps oder der Edge für diesen Schutz erforderlich ist, schießt mir spontan ein 'zu kurz gesprungen und am Bedarf vorbei' durch den Kopf. Es bleibt spannend, zu verfolgen, wie das Katz-und-Mausspiel bezüglich Windows und der Malware weiter geht.
(Quelle: Microsoft)
Hier ist noch ein Schaubild der Windows 10-Versionen mit den Aufgenommenen Schutzmechanismen. Insgesamt sind die Ansätze schon gut – ob man das aber alle 6 Monate ausrollen muss und dabei alles über einen Haufen werfen muss, steht auf einem andere Blatt – oder wie seht ihr das? (via)
Anzeige
Sandbox bypass, DEP Bypass…
…sprich all der Quatsch der irgendwann mal Wunder Sicherheit garantieren sollte, ist heute ein Problemfeld und vergrößerte Angriffsfläche auf Windows und man beschäftigt sich weiter mit diesen hinzugefügten Extras um weiter hinterher zu kommen. Daneben gibt es neue Features, die in Zukunft die Angriffsfläche noch weiter vergrößern, weil auch diese irgendwann ausgehebelt werden…
Herr Born, ich finde das nicht Clever, wenn aus Sicherheits Features plötzlich mögliche Einfallstore geworden sind. Das ist dann einfach nur Ballast, der Mehrarbeit mitbringt…
Vielleicht wäre es eben doch klüger gewesen, neue bessere Betriebssysteme zu entwickeln, statt bequem eine Vista Familie nur zu modifizieren und zu behaupten, es wäre was neues. Auch wenn dies aufwendiger ist und mehr Arbeit bedeutet und mehr ältere Software auf der Strecke bleibt. Das passiert mit der App Pflicht halt auch, nur ist die App Umgebung eben nix neues, sondern nur ein weiteres Modul auf einem alten Windows innerhalb der angreifbaren, weil gut bekannten Vista Familie.
"Laden Benutzer Windows-Anwendungen oder sogar Windows Classic-Anwendungen (Win32) aus dem Windows-Store, verspricht Microsoft, dass es höchst unwahrscheinlich sei, dass diese Malware enthalten."
Dieses Versprechen ist toll und löblich, aber es ist halt nur eine Frage der Zeit…
Wenns hier mal knallt, trifft es richtig… da gehts um mehr wie Nackbilder von "Sternchen" aus der Instagram Cloud…
Weiter so mit Windows 10 kann doch eigentlich keine Lösung sein, wenn die Angreifer so dicht dran sind… ich bin schon jetzt gespannt, wann der Kritische Punkt in dieser 6 Monats Strategie erreicht wird, an dem Windows aufgrund der vor sich her geschobenen Fehler Welle einfach unbrauchbar sein wird.
Jedes Mal "ein paar wenige" Systeme, die auf der Seite liegen, werden halt irgendwann auch eine Masse und noch benutzen die meisten Nutzer Windows 7. Windows 10 nutzt doch nur ein kleinerer Teil und selbst hier schon fragmentiert auf unterschiedliche Builds, weil die 6 Monats Kur halt nicht wirklich funktioniert. Das ist von Anfang an Spielerei mit unfertigem Kram gewesen und man patcht nicht nur Lücken, sondern eben auch Dinge wie die App Umgebung, damit der Kram vielleicht irgendwann mal irgendwie mit allen Anwendungen funktioniert. Darauf baut MS "Sicherheit" auf?
Der Kram läuft doch noch nicht mal richtig mit allen Anwendungen…
Auf das von Microsoft großkotzige Nutzererlebnis mit Spielen aus dem Store der ersten Tage braucht man da nicht mal mehr eingehen. Das ist bis heute eine Lachnummer und halbgar im direkten Vergleich mit nicht Store Versionen des gleichen Titels.
Mittlerweile muss man doch eher Angst haben, das tolle neue Produkte und Software, die man bei Microsoft kauft, auch morgen noch läuft und nicht nicht dem Rotstift, oder der Willkür geopfert werden.
Diese Sicherheit wäre mal ein dolles versprechen von MS… schließlich hieß es doch mal das mit Windows 10 alles universal und besser werden soll. Die Windows Phone Nutzer die ich kenne schwärmen noch heute…
Ich bin schon gespannt was unter Windows 10 S aus dem Store wohl alles nicht laufen wird, oder wirds gar nicht erst angezeigt? Soviel zu Versprechern, seitens Microsoft…
Dagegen halte ich persönlich Malware und Co für eine kleine Bedrohung und eher ein kleines Ärgerniss, weil ich mit Windows jeden Tag und mit Malware und Co eher selten bis überhaupt nicht zu tun habe…
Warum stellst Du nicht Deine Brillanz Microsoft zur Verfügung, wenn alles so klar ist in Deinen Augen?
Änderungen in kleinen Schritten sind sehr wahrscheinlich nur möglich, weil unter Garantie Niemand den Programmcode von Windows vollständig im Kopf hat und sämtliche Arten, wie Teile davon missbraucht werden können durch Kombination.
Natürlich ist der Weg über einen Store ein Trick, um das alte System irgendwie sicherer zu machen, aber einfach mal sicher machen ist eben nicht möglich, und alles neu gestalten genauso wenig, weil man von Null anfangen müsste. Daher ist die Lachnummer weniger zum Lachen als die Kritiker davon.
"Warum stellst Du nicht Deine Brillanz Microsoft zur Verfügung"
Jooo, wenns soweit ist, das ich bei Microsoft als Brilliant gelte, dann ist es wohl schon zu spät für MS.
"Daher ist die Lachnummer weniger zum Lachen"
Stimmt… wenn Entwickler von hochpreisigen AAA Titeln kleinlaut und offen eingestehen müssen, um sich zu entschuldigen, das die UWP Platform nie dafür gedacht gewesen ist und MS diese erst anpassen muss, damit die Kunden überhaupt weit nach dem Kauf mal vernünftig wie heutzutage gewohnt spielen konnten… dann ist das einfach eine Frechheit gewesen.
Microsoft hat das gewusst und trotzdem schöngeredet und verkauft und mehr als einen Shitstorm kassiert.
Oder brauchen die wirklich jemanden wie mich um sowas zu bemerken. So Würstchen wie mich gibts ne ganze Menge draußen, die häufiger so Kopf -> Tisch… Den Job könnten sogar Leute übernehmen, die eh schon Kontakt zu MS haben…
Herr Born zum Beispiel.
Müsste nur mal wer bei MS zuhören und verstehen und was tun… Das ist ja das Problem.
Ich bin doch nicht allein mit der Meinung das von MS verkündete Ideen in der Theorie zuerst immer ganz nett klingen und in der Praxis dann Kopfschütteln verursachen, oder ganz anders daherkommen, wie mal gedacht.
Bei Apps, ob klassisch oder modern, aus einem Store geht es um Kundenbindung und nicht um Sicherheit. Das haben alle anderen erfolgreichen Unternehmen mit Store bereits bewiesen.
Wie willste auch als Shopbetreiber tausende Apps unter Kontrolle halten, wenn dir nicht grad mal der Zufall hilft. Das ist Utopie. Kommt reine online Software mit Servergestütztem Backend eines Drittanbieters dazu, erst recht. Dann ist "die sichere Store App" nämlich nur noch eine Ein-/ Ausgabemaske… das wesentliche passiert aber woanders.
Ich hab auch nix gegen Stores an sich, Amazon, Steam und Google dürfen mich gern knebeln und ich kauf da auch, nur bei denen funktioniert das, was man kauft, auch wie man es erwartet.
Bei Microsoft eben nicht mehr unbedingt und fein regelmäßig und das schon einige Jahre.
Ob diese andauernden Anpassungen für Software im Store nicht gleichzeitig dafür sorgen, das die vielleicht ursprünglich mal sichere, weil als zu enges Korsett entworfene UWP Umgebung löchrig wie Käse wird… weiß noch keiner.
MS auch nicht, weil es so eben tatsächlich wohl auch nicht gedacht gewesen ist, sondern eben ursprünglich für diese Spielkram Apps, die zum großteil einfach nur Webseiten ersetzen sollten. So, Bahnauskunft mit Ticketverkauf und Co halt. Schläft halt nur ein der Kram und wirklich nennenswert erfolgreich sind unter den Apps heute doch nur noch mobile Spiele und hybriden die mobil wie am PC und auf Konsolen zu finden sind.
Fakt ist, der Store soll nun bleiben und UWP muss aufgebohrt werden, damit auch klassische Anwendungen dort laufen können. Die Entwickler sind halt nicht auf den geplanten UWP Zug aufgesprungen und zieren sich noch immer, wenn sie können…
Der Vorteil beim bei Null anfangen mit einem schmalen OS, im gegensatz zum aufgeblasenen Win10, wäre nun gewesen, das auch die Gruppe der Malware und Co Heinis bei null anfängt… und nicht wie bisher einfach nur die neuerungen mitlernen und umgehen muss, denn dies Wissen und die Ausmaße die das mittlerweile erreicht hat, lernen diese Personengruppen sicher auch nicht über Nacht, sondern das ist mitgewachsen, weils eben nie neu war.
Obs es wirklich null sein muss, steht ja auch gar nicht fest… aber seit Vista ist Windows nicht so großartig anders und besser geworden, wie man gerne vorgaukelt. Modifiziert ja.
Sicherheitsfeatures müssen sich halt immer erst beweisen, werden dann mitgeschleppt, oder verschwinden wieder.
UWP ist aber nicht als Sicherheitskonzept entstanden, sondern dieser rein theoretische Nebeneffekt wird jetzt als solcher verkauft bis die ersten Löcher dann gefunden, geschaffen und ausgenutzt worden sind…
> Insgesamt sind die Ansätze schon gut – ob man das aber alle 6 Monate ausrollen
> muss
Nichts dagegen.
> und dabei alles über einen Haufen werfen muss,
Das ist übel. Die Neuerungen als Updates einpflegen, nicht als Upgrades, die alles über den Haufen werfen.
Wenn ich sehe wie teilweise die scheinbar einfachsten Funktionen in Outlook nicht funktionieren Bsp. Synchronisation der Kontaktbilder verschobene Geburtsdaten in den Kontakten und das teils seit Jahren da frage ich mich warum sollte ich in tiefgreifende Sicherheit im System vertrauen? Warum?!?!
Warum? Weil das Microsoft-Management inständig darum bittet und auch noch glaubt, dass sie wissen, was Du brauchst. Leben kann so einfach sein. Duck und wech ;-)
Management und insbesondere das Marketing sollten auf ein absolutes Minimum reduziert werden. Diese Leute haben keine Ahnung und kosten viel Geld. Die Entwickler sollten mehr das Sagen haben.
DEP wurde mit Windows XP SP 2 eingeführt. Ab Vista kam noch ASLR hinzu. Seit Windows 8 wird – laut Microsoft – ASLR im ganzen System verwendet um den Erfolg von komplexen Angriffen, wie Heap Spraying, zu verhindern.
Übersicht über die Sicherheit von Windows 10:
https://technet.microsoft.com/library/mt601297.aspx
Anstatt mit neuen Sicherheitsmechanismen aufzuwarten, wäre es sinnvoller das Problem anders anzugehen. Es ist ein Unding, das ausführbare Programme standardmäßig außerhalb der klassischen Installationsordner gestartet werden können. Des Weiteren ist der Anwender standardmäßig mit einem Administratorkonto angemeldet. Ein Hinweis der UAC kann so problemlos mit Klick auf die Schaltfläche "OK" weggeklickt werden. Das ist der Grund, warum Schadsoftware auf Windows so erfolgreich ist. Schadsoftware gelangt auch auf anderen Wegen auf den Rechner, aber die Angriffsfläche wäre geringer.
Windows 10 ist als Betriebssystem eher ein Überraschungsei. Du weist nicht was in sechs Monaten wieder für Veränderungen anstehen und wie die sich auswirken.
So entstehen Fake-News ;-) da wird eine Negation weggelassen bzw. in der Übersetzung falsch angewendet.
Stack-Überläufe, manipulierte Returnadressen gab es, wie auch MS im Original schrieb, schon vor (mehr als) 10 Jahren
Wir als Laien können doch eigentlich gar nicht beurteilen, ob die Schutzmechanismen alle sechs Monate verändert werden müssen. Fakt ist aber, das die Betriebssysteme von Microsoft am meisten auf der Welt verwendet werden und Microsoft auch eine gewisse Verantwortung hat. Ich habe den Eindruck, dass Microsoft mit den Änderungen schneller auf sich ändernde Bedrohungen reagieren will.
> Ich habe den Eindruck, dass Microsoft mit den Änderungen schneller
> auf sich ändernde Bedrohungen reagieren will.
Gegen aktuelle Bedrohungen kann jederzeit mit Patches im Rahmen der laufenden Sicherheitsupdates reagiert werden. Und wie kommst du darauf, dass hier alle Leser Laien sind? ;-)