Was Forschern nun mit wenig Aufwand gelungen ist, bietet Hackern in Zukunft die Möglichkeit, ihre Exploits binnen kürzester Zeit automatisch generieren zu lassen.

Durch den Vergleich von Programmdateien vor und nach dem Einspielen eines Patches kann mit einfachen Mitteln herausgefunden werden, wie sich die durch den Patch beseitigte Schwachstelle ausnutzen lässt.

Die Forscher haben hierzu die jeweiligen Änderungen mit Debugging-Mechanismen ausfindig gemacht. Meist wird bei den Patches eine zusätzliche Abfrage von Werten ergänzt. Hierdurch sollen diejenigen Werte verhindert werden, durch die sich die Sicherheitslücke ausnutzen lässt.

Die neu enthaltene Abfrage verrät einem Angreifer jedoch, welche Werte er erzeugen muss, um die Schwachstelle für seine Zwecke zu missbrauchen.

Auf Basis der so gewonnen Informationen kann nach Aussage der Forscher binnen Sekunden automatisch ein Programm generiert werden, das die entsprechenden Werte erzeugt, die durch den Patch verhindert werden. Somit würde die betroffene Anwendung zum Absturz gebracht. Mit geringem Aufwand kann dies zu einem Exploit erweitert werden, der die Sicherheitslücke beispielsweise zur Infektion des Systems ausnutzt.

Allerdings müssen die Patches in Unternehmensumgebungen vor dem Einspielen ausführlich getestet werden. Sicher zu stellen, dass alle Sicherheitspatches binnen Minuten nach dem Erscheinen installiert sind, wird in den wenigsten Bereichen möglich sein.

Bisher gibt es leider noch keinen Ansatz, nach dem dieses Problem gelöst werden kann.

Ich empfehle Ihnen in Ihrem Unternehmen für das Testen von Patches Standardabläufe zu entwickeln. Legen Sie sich eine Checkliste mit Programmen Betriebsabläufen an, die Sie in Ihrem Testsystem durchgehen. So halten sie zumindest die Testzeit für Patches möglichst gering und schließen verheerende Behinderungen Ihrer Unternehmensabläufe trotzdem weitestgehend aus.

Weitere interessante Beiträge im Blog:

• Microsoft Update Katalog v7: Patches gezielt downloaden
• Temporäres E-Mail Postfach: Schützen Sie Ihre reale Adresse vor der Spamflut

Der Beitrag wurde am Freitag, den 25. April 2008 um 14:12 Uhr veröffentlicht und wurde unter Sicherheit abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.