Geknackt: Niederländische Forscher hebeln ASLR aus

Unternehmen wie Microsoft stecken mittlerweile große Geldsummen in die Entwicklung der Sicherheitskonzepte ihrer Produkte. Eine wichtige Rolle bei Windows spielt dabei die Address Space Layout Randomization, kurz ASLR. Bei dieser Sicherheitstechnik wird Speicher nach einem zufälligen Prinzip zugeteilt, was vor allem die Ausnutzung diverser Arten von Speicherfehlern deutlich erschweren soll. Allgemein gilt ASLR als eine Technik, die einen besonders hohen Stellenwert genießt. Dass sie aber nicht unverwundbar macht, zeigten nun niederländische Sicherheitsforscher der Freien Universität in Amsterdam.

Die Experten nutzten im konkreten Fall eine aus dem Jahr 2013 stammende, mittlerweile geschlossene Sicherheitslücke in Mozilla Firefox aus, um ihren AnC getauften Angriff durchzuführen. Insgesamt konnten sie ihre Angriffsmethode auf 22 Architekturen erfolgreich reproduzieren. Die Forscher merken aber auch an, dass der AnC-Angriff genaue Messungen mit JavaScript-Code erfordert, wenngleich er sich auch auf andere Sicherheitslücken übertragen lässt.

Gefahr oder Panikmache?
Dass es den Sicherheitsforschern überhaupt gelungen ist, ASLR so zu knacken, dass er zumindest augenscheinlich wie das offene Scheunentor daher kommt, ist erstmal keine schöne Nachricht. Allerdings haben die niederländischen Sicherheitsexperten auch ihren Proof of Concept, also den Quellcode für ihren erfolgreichen Modellangriff, diesmal nicht auf GitHub oder einer anderen Plattform veröffentlicht. Entsprechend schwer fällt es auch, die wirkliche Wucht dieses Modellangriffs einzuschätzen.

Generell kann man aber sagen, dass es die beste Option ist, den Einsatz von JavaScript auf dem eigenen System zu kontrollieren und zu regulieren. Im normalen Webbrowser ist das kein großes Problem. Wenn ihr ein Addon wie uBlock Origin, NoScript oder uMatrix einsetzt und etwas Zeit in dessen Konfiguration investieren wollt, könnt ihr zumindest in diesem Punkt durchatmen. Außerdem sollte man, wenn man noch einen verwendet, auch den eigenen PDF-Viewer darauf überprüfen, ob JavaScript aktiviert ist.

Die Sache mit Electron und React Native
Komplizierter (und interessanter) wird es aber bei den Anwendungen, die auf den Frameworks Electron von GitHub oder React Native von Facebook aufbauen und damit JavaScript als eigenständige Anwendung direkt auf Windows bringen. Deren Liste wurde in den letzten Monaten immer länger und umfasst mittlerweile auch durchaus sehr bekannte Anwendungen. Eine Auswahl:

– Atom
– Visual Studio Code
– Microsoft Teams
– Skype for Linux (der neue Client, der sich aktuell in der Alpha befindet)
– Brave (Webbrowser)
– Yahoo Messenger
– Slack
– Tweeten
– Adobe Brackets
– Simplenote
– Hain (ein Launcher für Windows)
– WMail
– Rambox
– Franz
– WhatsApp Desktop
– GitKraken
– Grammarly
– Lossless Cut
– OnlyOffice

Wir reden hier nur von einer kleinen Auswahl an Programmen, die auf den entsprechenden Frameworks basieren und wo JavaScript eine ganz zentrale Rolle einnimmt. Ich kann mir da momentan keinen Reim darauf machen, wie gefährlich ein AnC-Angriff für solche Programme wäre, aber de facto wäre eine genaue Kontrolle von JavaScript hier mehr oder weniger unmöglich. Eine genaue Folgenabschätzung würde leichter fallen, hätten die Forscher aus Amsterdam ihren Proof of Concept wirklich mit veröffentlicht. So ist und bleibt das alles spekulativ und außerdem ein deutlicher Kritikpunkt, den sich die Sicherheitsexperten in den Niederlanden gefallen lassen müssen.

via Heise