image

Hacker schiet gaten in ExploitShield

dinsdag 30 oktober 2012, 11:28 door Redactie, 4 reacties

Een gratis programma dat Windows-gebruikers tegen exploits moet beschermen is niet alleen eenvoudig te omzeilen, het maakt gebruikers ook kwetsbaar, aldus onderzoeker Andrew Ruef. Hij onderzocht het programma ExploitShield. De makers beweren dat de software gebruikers tegen exploits beschermt. Aanvallen die beveiligingslekken in geinstalleerde programma's misbruiken.

ExploitShield werkt echter alleen als de aanvaller niet weet dat het wordt gebruikt, stelt Ruef. Weet de aanvaller dat de software aanwezig is, dan kan hij die eenvoudig omzeilen. Ruef geeft in zijn analyse twee voorbeelden van hoe dit is te doen. "Defensieve systemen zoals deze zijn volledig afhankelijk van obscuriteit. Zodra de aanvallers het hebben bestudeerd, verliezen de systemen hun waarde", aldus de onderzoeker.

Tijdcapsule
Eén van de problemen voor ExploitShield is dat de feedbackloop de makers en gebruikers niet informeert dat de aanvaller zich aan de software heeft aangepast. Een ander probleem is dat de obscuriteit van een systeem lastig te bewaren is. De software moet namelijk beschikbaar voor gebruikers zijn, wat betekent dat ook aanvallers er toegang toe kunnen krijgen.

"ExploitShield is een tijdcapsule met de beste host-gebaseerde beveiligingstechnologie uit 2004", concludeert Ruef. Hij ziet het niet als een waardevolle toegang voor computers. "De gebruikte technieken zijn volledig afhankelijk van obscuriteit en geheimzinnigheid, vereisen zeer weinig werk om te omzeilen en hebben alleen effect op het laatste gedeelte van de aanval, de payload, en niet de exploit."

Kwetsbaar
In vergelijking met andere verdedigingstechnologieën, zoals Microsoft's Enhanced Mitigation Experience Toolkit (EMET) schiet ExploitShield tekort, gaat Ruef verder. Hij waarschuwt dat het programma het aanvalsoppervlak vergroot, omdat het een kernel-mode driver installeert die berichten van andere gebruikers op het systeem verwerkt. Lekken in de driver maken het mogelijk voor aanvallers om hun rechten op het systeem te verhogen.

Reacties (4)
30-10-2012, 12:03 door Anoniem
ja dat wist ik inmiddels ook al. 1 van de methode om het te omzeilen is via een dll payload welke je start met LoadLibrarryA/W. Deze dll kan vervolgens alles doen wat je niet zou wensen bv. het ophalen van een executable of een executable vanuit de dll wegschrijven. ook de eerder geblockte API's als WinExec worden dan ook niet meer geblocked.

pak maar een standaard metasploit payload als "download_exec_https.rb" en pas deze zodanig aan dat hij een loadlibrary functie gebruikt ipv. winexec ;)

de aanpassing:
execute_file:
push 0 ; don't show
push edi ; lpCmdLine
push 0x876F8B31 ; kernel32.dll!WinExec
call ebp

naar:
execute_file:
push edi
push 0x0726774C
call ebp


just like that.

greetings,
c1
30-10-2012, 16:03 door Anoniem
Ze zijn pas nieuw en wordt al meteen gezegt dat ze helemaal lek zijn. Dacht die onderzoeker dat ES gemaakt was in 2004 ofzo?
30-10-2012, 17:20 door spatieman
goh.
lijkt microsoft wel, ons OS is super veilig, echt waar.
31-10-2012, 12:50 door Anoniem
The analysis by Trail of Bits is technically incorrect. Please read our response to get the details:
http://www.zerovulnerabilitylabs.com/home/the-objective-of-exploitshield-beta/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.