IT-Sicherheits-Features in Win 10

Windows 10 beeindruckt Hacker

18.08.2016
Von  und


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Fahmida Y. Rashid ist als Security-Autorin für unsere US-Schwesterpublikation InfoWorld tätig.
Windows ist seit jeher ein populäres Angriffs-Ziel - für kriminelle Hacker genauso wie IT-Sicherheitsforscher. Im Fall von Windows 10 hat Microsoft allerdings einen ziemlich guten Job gemacht.

Solange Windows ein beliebtes Angriffsziel ist, werden Sicherheitsexperten und Hacker nichts unversucht lassen, fortgeschrittene Angriffsstrategien zu entwickeln, um Microsofts Sicherheitsbemühungen zu umgehen. Die Latte in Sachen IT-Sicherheit hängt heutzutage allerdings um einiges höher, als noch vor ein paar Jahren. Deswegen hat Microsoft bei seinem aktuellen Betriebssystem Windows 10 auch einige "Stolpersteine" eingebaut, die ganze Angriffsklassen außer Gefecht setzen. Die Hacker-Gemeinschaft auf der diesjährigen Black-Hat-USA-Konferenz hatte zwar einige hochentwickelte Exploitation-Techniken im Gepäck - dennoch herrschte am Ende stillschweigende Anerkennung: Eine erfolgreiche Angriffstechnik für Windows 10 zu entwickeln ist erheblich schwerer, als es noch bei den Vorgängern war - insbesondere wenn es um Sicherheitslücken im Betriebssystem selbst geht.

Anti-Malware-Tools serienmäßig

Microsofts "Wundermittel": Antimalware Scan Interface (AMSI)-Tools. Diese können schädliche Skripte bereits im Speicher abfangen. Laut Nikhal Mittal, Penetration Tester und Berater bei NoNoSecure, kann jede Applikation auf die AMSI-Tools zurückgreifen und jede registrierte Antimalware-Engine die von AMSI gelieferten Daten verarbeiten. Sowohl Windows Defender als auch AVG setzen derzeit auf die AMSI-Tools, die demnächst weitere Verbreitung finden dürften, wie Mittal verdeutlicht: "AMSI ist ein großer Schritt für die Blockierung von skriptbasierten Angriffen auf Windows."

Kriminelle Hacker setzen zunehmend auf solche skriptbasierten Attacken - insbesondere solche, die in Powershell ausgeführt werden. Für Unternehmen stellt es ein Problem dar, solche Angriffe zu erkennen, weil diese nur schwer von legitimen Aufgaben und Anforderungen zu unterscheiden sind. Auch die Wiederherstellung von Systemen ist in einem solchen Fall ein schwieriges Unterfangen, weil Powershell-Skripte tendenziell in allen Bereichen eines Systems oder Netzwerks zum Einsatz kommen können.

Kriminelle Hacker nutzen Powershell schon seit längerem für ihre Aktivitäten - die IT-Security-Spezialisten haben einige Zeit gebraucht, um aufzuholen, wie Mittal erzählt: "Vor ein paar Jahren hat sich niemand für Powershell interessiert. Unsere Scripts werden überhaupt nicht erst erkannt. Auch die Antivirus-Anbieter sind erst vor etwa drei Jahren auf diesen Zugf aufgesprungen."

Es sei zwar einfach, schädliche Scripts auf Festplatten aufzuspüren - so Mittal weiter -, diese aber effektiv zu stoppen, wenn sie bereits im Arbeitsspeicher "stecken", sei hingegen alles andere als einfach. AMSI hingegen versucht, die Skripte bereits auf dem Host-Level abzufangen, weswegen die Input-Methode keine Rolle spielt. Das macht die AMSI-Tools nach Meinung des Experten zum "Game Changer".

Aber: Als Standalone-Lösung reicht AMSI natürlich nicht aus. Denn der Nutzwert der Tools richtet sich danach, wie ausgeprägt andere IT-Sicherheitsmaßnahmen greifen. So ist die Generierung von Logs für skriptbasierte Attacken in der Regel essentiell. Windows-Administratoren sollten also in jedem Fall ihre Powershell-Logs regelmäßig überprüfen.

Perfekt ist AMSI ebenfalls nicht: Für das Aufspüren von verdeckten Scripts und solchen, die von ungewöhnlichen Destinationen aus gestartet werden - etwa Registry Keys oder Event Logs - ist AMSI weniger gut geeignet. Auch Powershell-Scripts die ohne Beteiligung von powershell.exe ausgeführt werden, können die AMSI-Tools außer Gefacht setzen. Zudem können die Antimalware-Tools auch umgangen werden - etwa durch Veränderung der Script-Signaturen, Nutzung von Powershell 2.0 oder schlicht durch Deaktivierung. Nichtsdestotrotz hält Mittal AMSI für die "Zukunft der Windows-Administration".

Active Directory schützen

Active Directory (AD) ist ein Eckpfeiler der Windows-Administration und wird durch den anhaltenden Cloud-Boom im Unternehmensumfeld eine immer kritischere Komponente. Zwar kommt AD nicht mehr für das Zugangsmanagement in On-Premise-Umgebungen zum Einsatz, dafür hilft sie nun bei der Identifikation und Authentifizierung unter Azure.

Windows-Administratoren, Security-Experten und kriminelle Hacker betrachten die Active Directory aus gänzlich unterschiedlichen Perspektiven, wie Sean Metcalf, Gründer von Trimarc, auf der Black-Hat-Konferenz erzählte: Für den Admin liegt der Fokus dabei auf der Uptime und darauf, sicherzustellen, dass Active Directory in einem standesgemäßen Zeitfenster auf Anfragen reagiert. Security-Experten überwachen die Gruppe der Domain Admins und kümmern sich um Software-Updates. Angreifer hingegen machen sich ein Bild von den Security-Maßnahmen eines Unternehmens, um eine Schwachstelle zu finden. Laut Metcalf verfügt dabei keine der drei Gruppen über ein ganzheitliches Bild.

Laut dem Experten haben alle authentifizierten Nutzer Leserechte für die meisten - wenn nicht sogar alle - Objekte und Attribute in der Active Directory. So könnte ein gewöhnlicher User-Account aufgrund von fehlerhaft zugestandenen Modifikations-Rechten für mit der Domain verlinkte Gruppenrichtlinien für die Kompromittierung einer ganzen Active Directory Domain sorgen.

Ist die Active Directory überhaupt nicht abgesichert, wird ein eine Kompromittierung noch wahrscheinlicher. Deswegen gab Metcalf Unternehmen einige Tipps an die Hand, wie gängige Fehler vermieden werden können:

  • Schützen Sie die Zugangsdaten der Administratoren;

  • Isolieren Sie kritische Ressourcen;

  • Aktualisieren Sie regelmäßig Ihre Software - insbesondere solche, die potenziell gefährliche Schwachstellen beheben;

  • Segmentieren Sie Ihr Netzwerk, um es den Angreifern so schwer wie möglich zu machen, sich dort zu bewegen.

IT-Sicherheits-Spezialisten sollten zudem ein Auge darauf haben, wer Administratoren-Rechte für die Active Directory und virtuelle Umgebungen besitzt, in denen virtuelle Domain Controller gehostet werden. Darüber hinaus empfiehlt sich eine Überprüfung aller Active Directory Domains, AdminSDHolder-Objekte und Gruppenrichtlinien auf unrechtmäßige Rechtevergabe. Sie sollten außerdem dafür Sorge tragen, dass sich Domain-Administratoren niemals mit ihren Zugangsdaten an unsicheren Systemen wie Workstations anmelden. Auch die Rechte für die Service Accounts sollten limitiert werden. Kurzum: Wenn Sie Ihre Active Directory richtig absichern, werden viele gängige Angriffsmuster abgeschwächt oder verpuffen gar.

Virtualisierung als Schutzmaßnahme

Mit Windows 10 hat Microsoft ein in Hyper-V integriertes Toolset namens virtualization-based security (VBS) eingeführt. Die Angriffsfläche von VBS unterscheidet sich dabei von denen anderer Virtualisierungs-Implementationen, ist Bromiums Security-Chef Rafal Wojtczuk überzeugt: "Trotz seiner limitierten Möglichkeiten ist VBS nützlich, denn es schützt vor bestimmten Attacken, die ohne VBS erhebliche Folgen haben können."

Hyper-V besitzt die Kontrolle über die Root-Partition und kann zusätzliche Beschränkungen implementieren und sichere Services zur Verfügung stellen. Wenn VBS aktiviert ist, kreiert es eine spezielle virtuelle Maschine, deren Trust Level den Anforderungen für die Ausführung von Sicherheits-Befehlen genügt. Im Gegensatz zu anderen virtuellen Maschinen, wird diese von der Root-Partition separiert. Windows 10 kann die Code-Integrität von User-Mode Binaries und -Scripts sicherstellen, während VBS sich um den Code im Kernel kümmert. Dabei ist VBS so konzipiert, dass es keinen unsignierten Code im Kernel zulässt - sogar wenn dieser bereits kompromittiert wurde. Im Grunde sorgt der in der virtuellen Maschine laufende, vertrauenswürdige Code dafür, dass in den Extended Page Tables der Root-Partition Zugriffsrechte an Seiten vergeben werden, die vertrauenswürdigen Code speichern. Weil auf eine Seite nicht gleichzeitig zugegriffen und geschrieben werden kann, hat die Malware keine Chance, in den Kernel zu gelangen.

Weil das gesamte Konzept daraufhin ausgelegt ist, selbst bei einer kompromittierten Root-Partition weitermachen zu können, hat Wojtczuk VPS aus der Perspektive eines Angreifers unter die Lupe genommen, der sich bereits Zugang zu dieser verschafft hat und - etwa über die Umgehung des Secure Boot eine infizierte Version von Hyper-V lädt: "VBS sorgt für mehr Sicherheit auf Systemen. Für die Umgehung der Sicherheitsmaßnahmen ist eine ganze Menge Aufwand nötig", so das Fazit des Experten. Anlass zur Sorge gebe allenfalls die ungewöhnliche Angriffsoberfläche.

Ein großer Schritt für die Windows-Sicherheit

Kriminelle Hacker, Security-Forscher und Hacktivisten liefern sich schon seit Jahren ein Marathon-Duell mit Microsoft: Sobald eine Sicherheitslücke die Windows-Schutzmaßnahmen aushebelt, stopft Microsoft das Loch. Durch die Implementierung von innovativen IT-Sicherheits-Maßnahmen zwingt Microsoft die Angreifer nun, sich etwas tiefer in die Struktur des Betriebssystems einzuarbeiten. Nebenbei hat man mit Windows 10 das bislang sicherste Windows-Betriebssystem auf die Beine gestellt.

Cyberkriminelle werden nicht müde, wenn es darum geht neue Angriffsformen zu entwickeln - und auch die Bedrohung durch Malware wird in Zukunft nicht abnehmen. Trotzdem ist es durchaus erwähnenswert, dass die meisten Angriffe das Resultat von nicht-aktueller Software, Social Engineering oder falscher Konfiguration sind. Keine Software oder Applikation ist perfekt (und damit frei von Bugs), aber wenn es integrierte Verteidigungsmechanismen den Angreifern nur ein wenig schwerer machen, ist das bereits ein Sieg für die IT-Sicherheit. Da Microsoft mit dem Anniversary Update noch einmal in Sachen Isolations-Technologien nachgelegt hat, dürfte es in Zukunft deutlich schwerer sein, in moderne Windows-Systeme einzubrechen.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation infoworld.com.