Introducing Proactive Exploit Protection

Norton Security Kunden (und tatsaechlich jeder, der den Norton Windows Client hat – 22.5.4 oder neuer), profitiert von der Einfuehrung eines neuen Schutzsystems genannt Proactiver Exploit Schutz / Bedrohungsblockierung (PEP  Proactive Exploit Protection) das darauf abzielt Windows-Geraete besser vor sogenannten “Zero-Day”–Angriffen zu schuetzen  –  Angriffe, die darauf abzielen unentdeckte und nicht geschlossene Sicherheitsluecken (oder Schwachstellen) in Windows-Anwendungen oder im Betriebssystem selbst, auszunutzen. PEP funktioniert ueber drei starke Schutz-Techniken, die verschiedene Typen von vorherschenden Zero-Day Angriffen in ihrem Lauf stoppen.

Eine kurze Einfuehrung zum Thema ‘Zero-Day’

Haeufig entdecken Security Researcher oder Ethical Hacker eine Schwachstelle in Software die sie studieren. Sie werden dann die betroffenen Software Anbieter informieren und mit diesen zusammenarbeiten, um sicherzustellen, dass ein 'Patch’ ausgegeben wird, dass die zugrundeliegende Schwachstelle abdeckt. Falls, jedoch boesartige Angreifer die Schwachstelle zuerst entdecken, schreiben sie womoeglich einen Code der die Schwachstelle fuer den Versuch ausnutzen kann, unauthorisierten Fernzugriff auf Geraete zu erhalten auf denen die verwundbare Software laeuft.

Seit den letzten paar Jahren, sehen wir eine signifikante Zunahme der Ausnutzung  von Zero-Day-Exploits fuer Internet-Angriffe. Hier spielt eine Anzahl von Faktoren mit, aber unsere Nachforschungen fuehren uns zu der Annahme, dass als treibende Faktoren hinter dem aktuellen Aufwaertstrend in Zero-Day-Exploits ein zunehmendes Mass an Zusammenarbeit und Professionallitaet unter den Angreifern zustandekommt, begierig diese Schwachstellen geschaeftsmaesig auszunutzen.
 

Zero-Day-Exploits: Zunehmend in Haeufigkeit und Aswirkung.

Anzahl von Zero-Day Schwachstellen.

Quelle: ISTR Internet Security Threat Report, Symantec 2015​

Wie lange sind Zero-Day Schwachstellen ueblicherweise ungeschuetzt?

Unsere Analyse zeigt, fuer die Top 5 Zero-Day-Angriffe die sich in 2014 ausgebreitet hatten, benoetigten die Software-Hersteller einen Durchschnitt von 59 Tagen nach dem Angriff, nur um eine Behebung fuer Ihre Kunden zur Verfuegung zu stellen. Diese Zahl schliesst weder die Zeit, die vorher diese Schwachstelle unentdeckt auf den Geraeten der Leute (meistens Monate und in manchen Faellen sogar Jahre), noch die zusaetzliche Zeit die sie dann benoetigten die entsprechenden Korrekturen tatsaechlich anzuwenden.

Durchschnittliche Zeit die Top 5 Zero-Day Schwachstellen zu schliessen.

Durchschnittliche Zeit der Top 5 Zero-Day Schwachstellen zu schliessen in 2014 - 59 Tage

Was kann der Proaktive Exploit Schutz tun, um gegen die Gefahr fon Zero-Day-Angriffen zu schuetzen?

Norton’s Proaktive Exploit Schutz –Technologie arbeitet mit der Erkennung einer Reihe boesartiger Verhaltensmuster, die uebliche Markenzeichen fuer Zero-Day-Angriffe sind. Sie blockiert anschliessend nur Software die diese spezifischen Verhaltensweisen aufzeigt. Eine der begeisterndsten Aspekte dieser Vorgehensweise ist, dass es Schutz bietet gegen Angriffe in dem Moment, da die verwundbare Software zum Einsatz kommt, nicht falls und wenn die Schwachstelle schliesslich entdeckt oder angegriffen wird. Das ist bedeutsam, weil, wie es sich herausstellt, die meisten Zero-Day-Angriffe ihren Vorteil aus Schwachstellen ziehen, die fuer viele Monate und in einigen Faellen Jahre existieren ohne zuvor entdeckt worden zu sein.

Wie kann der Proaktive Exploit Schutz in einen besseren Schutz in der realen Welt erreichen?

Lasst uns als Beispiel Operation Pawn Storm, einen kuerzlichen Zero-Day-Angriff nehmen, verbreitet 2015. Dieser nutzte einen Zero-Day-Exploid in der weitverbreiteten Java Software Umgebung.

Um sein Ziel zu erreichen, hat der Angriff  Operation Pawn Storm eine Schwachstelle in Java ausgenutzt um eine Komponente, als Java Security Manager bekannt, zu deaktivieren. Waehrend Norton Kunden in diesem Fall relative schnell geschuetzt waren (etwa einen Tag spaeter), warteten Nicht-Norton-Kunden die Java laufen hatten zwei weitere Tage bis Oracle (die Firma, die Java entwickelt) einen Patch ausgab, um Java-Kunden vor dem Angriff  Opation Pawn Storm zu schuetzen. Ungluecklicherweise verblieben viele Java-Nutzer selbst bis Monate danach noch ungeschuetzt, wegen so etwas wie einer „vielleich, vielleicht auch nicht“ –Art in der Leute verfuegbare Software-Updates anwenden.

PEP’s Java Schutz Technologie zielt nicht nur darauf  jeglichen zeitlichen Abstand zu elliminieren um unsere Kunden zu schuetzen. Darueberhinaus stellt sie einen umfassenden Schutz vor Ausnutzung durch Java Zero-Day-Angriffe, indem sie jeglichen Code der versucht den Java Security Manager zu deaktivieren, unabhaengig aus welcher neuen Schwachstelle heraus, die Kriminelle in der Zukunft entdecken moegen.


Operation Pawn Storm - Zeitleiste

Heap Sprays und Structured Exception Handlers

Abgesehen von Java Angriffen, haben Schadsoftware-Programierer sich in den letzten paar Jahren auf zwei weitere uebliche Angriffs-Kategorien konzentriert. Heap spraying bezieht sich auf  einen Angriff, der versucht Schad-Codes in vorgegebene Speicherorte einzufuegen, in der Hoffnung, dass er von einer verwundbaren Anwendung ausgefuehrt wird (typischerweise ein Web-Browser oder Browser Plug-in. Entsprechend beinhaltet PEP ein Heap Spray -Abwehr Modul das, im Kern, bestimmte Speicherorte mit gutartigen Codes vorbelegt. So werden diese Art Angriffen effektiv gestoppt, indem die Nutzung solcher Speicherorte fuer ruchlose Zwecke abgewendet wird.

PEP bringt auch eine Technik genannt Structured Exception Handler Overwrite Protection. Wie der Name schon vermuten laesst, wird PEP boesartige Codes am Ueberschreiben von speziellen Windows Routinen hindern. Diese, genannt Structured Exception Handlers, designed einem  Windows PC zu sagen, was zu tun ist im Fall, dass eine Ausnahme auftritt waehrend eine Anwendung lauft (oder im Fall eines unerwarteten Vorfalles). Eine Ausnahme kann durch eine Anzahl von Unregelmaessigkeiten ausgeloest werden wie der Autrag durch Null zu teilen oder dem Versuch auf eine ungueltige Speicheradresse zuzugreifen. Windows unterhaelt ein Set von einzigartigen ‘Handler’ Routinen fuer jede Kategorie. Ungluecklicherweise haben clevere Angreifer Wege gefunden diesen Mechanismus die Ausnahmen zu behandeln, zu kapern, indem sie eine dreifstufige Annaeherung verwenden:

  1. Schreiben eines boesartigen Codes in einen Speicherort
  2. Ueberschreiben einer Windows’ Structured Exception Handler Routine fuer eine konkrete Ausnahme (zum Beispiel missbraeuchlicher Zugriff) so, dass nun der boesartige Code angezeigt wird.
  3. Ausloesen der entsprechenden Ausnahme, so, dass Windows sich auf die ueberschriebene  Handler Routine bezieht und durch den Trick fehlgeleitet wird, den boesartigen Code auszufuehren.

Auf diese Weise waren Angreifer in der Vergangenheit im StandeIn vollstaendige Fernzugriff auf Geraete zu gewinnen. Der Anwender hat nichts weiter gemacht, als auf eine bestimmte (gehackte oder boesartige) Webseite zu gehen. PEP’s Schutz Strategie hier ist einfach: Ausschau halten und verhindern von Annwendungen Windows’ Structured Exception Handlers zu ueberschreiben. Auf diesem Weg kann PEP gegen eine grosse Bandbreite von Zero-Day Angriffen die diese Herangehensweise nutzen.

Das Versprechen durch den Proaktive Exploit Schutz

PEP ist ein aufregendes neues System, das Schluesselvorteile fuer Norton Kunden bietet. Es befoerdert sie von, was man zuvor erachtet hat als schnelle Zeit–bis–zum-Schutz, zu instant proaktivem Schutz. Das staehlt ein System, indem es tieferliegende Schwachstellen nahezu bevor diese entdeckt werden ausbessert. Was noch darueber hinaus geht ist, dass es wegen der Natur dieses verhaltensbasierten Systems, nicht abhaengig ist von der Wirksamkeit von Signature Updates. In einer Welt in der Schwachstellen unkorrigiert und unentdeckt fuer Monate oder Jahre bestehen und Zero-Day Angriffe zunehmend ueblich werden, ist PEP ein wichtiger Schutzring. Wir glauben, dass das einen signifikanten, positiven Einfluss haben wird, auf das digitale Leben unserer Kunden.