![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\")
Microsoft hat ja einige Sicherheitsfunktionen wie den Arbitrary Code Guard (ACG) in Windows 10 eingef\u00fchrt. Googles Project Zero-Sicherheitsforscher haben diese Funktion in Verbindung mit dem Edge-Browser regelrecht 'zerpfl\u00fcckt'. Die Funktion versagt im Edge, w\u00e4hrend die Chrome Site-Isolation wohl funktioniert.<\/p>\n
<\/p>\n
Microsoft hat in Windows 10 diverse Techniken zur Abwehr von Malware eingebaut. Dazu geh\u00f6rt auch der Arbitrary Code Guard (ACG).<\/p>\n
![\"Strategien](\"https:\/\/blogs.windows.com\/uploads\/2017\/02\/mitigtation-strategy.png\" "\\"Strategien")
\n(Quelle: Microsoft)<\/p>\n
Microsoft hat ab Windows 10\u00a0 Creators Update die Techniken Code Integrity Guard (CIG) und Arbitrary Code Guard (ACG) f\u00fcr den Edge-Browser eingebaut. Diese Technologien sollen eine Reihe an Angriffsvektoren von Malware wie Remote Code Execution und Elevation of Privilege ins Leere laufen lassen. Die Details sind in diesem Microsoft Blog-Beitrag<\/a> beschrieben.<\/p>\n Microsoft lobt zwar die Sicherheit seiner Produkte, macht aber gravierende Fehler bei der Implementierung. Auf einen Bock hatte ich am Wochenende im Blog-Beitrag Microsoft und die Office 20xx-Sicherheitsl\u00fccke in ose.exe<\/a> hingewiesen. Bereits im Februar 2018 gab es Hinweise, dass sich der Arbitrary Code Guard umgehen l\u00e4sst.\u00a0 Eine Fundstelle gibt es bei Malwarebytes und auch bei IBM findet sich dieser Kurzbeitrag<\/a> vom 17. April 2018.<\/p>\n Microsoft Edge could allow a local attacker to bypass security restrictions, caused by a flaw in MicrosoftEdgeCP.exe. By sending a specially-crafted request with OpenProcess function, an attacker could exploit this vulnerability to bypass Arbitrary Code Guard (ACG).<\/p><\/blockquote>\n Die Information lautet auf Deutsch: Microsoft Edge k\u00f6nnte einem lokalen Angreifer erm\u00f6glichen, die vorhandenen (Edge) Sicherheitseinschr\u00e4nkungen zu umgehen, die durch einen Fehler in MicrosoftEdgeCP.exe<\/em> verursacht wurden. Durch das Senden einer speziell erstellten Anfrage mit der OpenProcess<\/em>-Funktion kann ein Angreifer diese Schwachstelle ausnutzen, um Arbitrary Code Guard (ACG) zu umgehen. Ein deutschsprachiger Beitrag ist hier<\/a> zu finden.<\/p>\n Jetzt bin ich bei ZDNet auf diesen Artikel<\/a> gesto\u00dfen, der das Thema erneut aufgreift. Ivan Fratric, Sicherheitsforscher beim Google Project Zero hat ein Whitepaper ver\u00f6ffentlicht, welches die Ergebnisse der Arbeit der Gruppe zur Umgehung des in Windows 10 Creators Update enthaltenen Feature Arbitrary Code Guard (ACG), im Zusammenhang mit Microsoft Edge beschreibt. Dieses ist in dem Anfang Mai 2018<\/a> publizierten Kurzbeitrag vom Project Zero verlinkt.<\/p>\n Derzeit ist der ACG Exploit-Schutz in Windows 10 ja exklusiv f\u00fcr Edge erh\u00e4ltlich. Die Funktion zielt darauf ab, fortgeschrittene Angreifer daran zu hindern, b\u00f6sartigen Code im Speicher (des Browsers) auszuf\u00fchren, wenn dieser bereits einen Inhaltsprozess im Browser gef\u00e4hrdet haben.<\/p>\n Fratric hatte bereits im Februar 2018 Details zu einem ACG Edge-Bypass ver\u00f6ffentlicht, bevor Microsoft das Problem beheben konnte. Microsoft hatte die 90-Tage-Frist der Gruppe vers\u00e4umt, ohne einen Patch bereitzustellen. Der Hack von Fratic erm\u00f6glichte den Edge Just in Time (JIT) JavaScript-Compiler mit aktiviertem ACG zu umgehen.<\/p>\n Microsoft versuchte diese Schwachstelle wohl durch Updates zu schlie\u00dfen. Die L\u00f6sung erforderte erheblichen Aufwand von Microsoft und bestand darin, die JIT-Engine von Edge in einen eigenen, von den Content-Prozessen des Browsers getrennten, Sandbox-Prozess einzubinden.<\/p>\n Die Verbesserung sollte schlie\u00dflich fortgeschrittene Angreifer davon abhalten, aus der Edge Sandbox auszubrechen. Fratric stellte jedoch fest, dass ACG zwar im Allgemeinen der Aufgabe gewachsen ist, dass es und ein weiteres Feature namens Code Integrity Guard jedoch durch ein weiteres Windows 10 Exploit-Schutz-Feature namens Control Flow Guard (CFG) aushebeln l\u00e4sst.<\/p>\n Fratric behauptet, damit der Arbitrary Code Guard (ACG) alle Angriffe erfolgreich blockieren kann, m\u00fcssen ACG, CIG und CFG alle unempfindlich gegen Byp\u00e4sse sein. Versagt nur eine dieser Schutzmechanismen, l\u00e4sst sich der gesamte Schutz aushebeln. Und die L\u00fccke existiert bei CFG. Laut Fratiric w\u00e4re in Google Chrome das Site-Isolation-Feature schwieriger zu umgehen als Edge mit aktiviertem ACG.<\/p>\n \"Derzeit ist es bei vielen bekannten Byp\u00e4ssen nicht schwierig, CFG in Windows zu umgehen. Sollte Microsoft jedoch in der Lage sein, alle bekannten Schwachstellen der CFG zu beheben, einschlie\u00dflich des R\u00fcckflussschutzes, k\u00f6nnte sich die Situation in den n\u00e4chsten Jahren \u00e4ndern. Da Microsoft bereits die Absicht gezeigt hat, dies zu tun, glauben wir, dass dies ihr langfristiger Plan ist\", meint Fratric. \"ACG gelingt es, den Zweck zu erf\u00fcllen, die Zuweisung und \u00c4nderung von ausf\u00fchrbarem Speicher zu verhindern. Aufgrund der gegenseitigen Abh\u00e4ngigkeit von CFG, ACG und CIG und den Unzul\u00e4nglichkeiten von CFG in Microsoft Windows kann ACG allein jedoch nicht ausreichen, um fortgeschrittene Angreifer daran zu hindern, dem Sandkasten eines Browsers zu entkommen und andere Angriffe zu starten.\"<\/p>\n Sicherheit ist ein 'Eichh\u00f6rnchen' und den Marketing-Behauptungen, dass Windows 10 das sicherste aller Windows sei, kann man nicht immer glauben. Es kommt auf den Einzelfall an.<\/p>\n","protected":false},"excerpt":{"rendered":" Microsoft hat ja einige Sicherheitsfunktionen wie den Arbitrary Code Guard (ACG) in Windows 10 eingef\u00fchrt. Googles Project Zero-Sicherheitsforscher haben diese Funktion in Verbindung mit dem Edge-Browser regelrecht 'zerpfl\u00fcckt'. Die Funktion versagt im Edge, w\u00e4hrend die Chrome Site-Isolation wohl funktioniert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,4378],"class_list":["post-204276","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204276"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204276\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Der Arbitrary Code Guard (ACG) l\u00e4sst sich umgehen<\/h2>\n
Neuer Artikel im Mai 2018<\/h2>\n