Før helgen ble det meldt om en ny svakhet i Adobe Reader. Denne svakheten benytter seg av en buffer-overflow. Utnyttelse av mange av disse svakhetene, også denne, kan utbedres ved å skru på en lite kjent funksjon i Windows kalt DEP – Data Execution Prevention.
Hva er DEP og hvorfor bør det skrus på?
Exploits (kodesnutter som tar kontroll over systemet ved å utnytte sårbarheter) bygger ofte opp instruksjonene sine i et område av minnet som egentlig er avsatt for data. De får deretter "instruksjonspekeren” til å peke inn i dataområdet der instruksjonene er klargjort, slik at disse blir kjørt. DEP sørger for å terminere programmer som prøver å kjøre instruksjoner fra minneområder som er avsatt for data og ikke instruksjoner. Dette kan hindre utnyttelse av mange buffer-overflow svakheter.
Noen nye CPUer har hardware-støtte for DEP. Dersom CPUen i din maskin ikke har støtte for DEP, benytter Windows seg av en software-basert versjon av DEP som er noe mindre effektiv.
Hvordan skrur en på DEP?
- Windows XP
Start – Control Panel – System – Advanced – velg ”Settings” under “performance” – velg fanen (tab’en) Data Execution Prevention – ”Turn on DEP for all programs and services except those I select” - OK - Windows Vista/7
Start - Control Panel – System and Security – System – Advanced System Settings - – velg ”Settings” under performance – velg fanen (tab’en) Data Execution Prevention – ”Turn on DEP for all programs and services except those I select” – OK
Endringen må utføres som en administrator på maskinen. Dersom du ikke er innlogget som en administrator, høyreklikk på ”System” fra listen over, velg ”Run as Administrator” og skriv inn passordet.
Kjør en omstart av maskinen etter å ha endret innstillingen.
Endringen kan også gjøres ved å kjøre følgende kommando som administrator i et kommandovindu:
bcdedit.exe /set {current} nx OptOut
Hva kan være negative konsekvenser av å skru på DEP?
Enkelte eldre spill og antivirus-programmer er laget på en måte som gjør at de blir stoppet av DEP.
Dersom du vet at du kan stole på programmet, og det fortsatt blir stoppet av DEP, kan du legge det til i en liste over unntak fra DEP-beskyttelsen
Hvordan skrur en på DEP for alle maskiner i nettverket?
Oppsettet av DEP styres gjennom en kommando i boot.ini. Denne kan endres på alle PCer i en bedrift slik at DEP er skrudd på som standard. Se følgende side hos Microsoft for mer informasjon.
Før en skrur på dette for mange maskiner på én gang anbefales det å kjøre test på et mindre antall standard-klienter for å se at alt fungerer som det skal. Dersom noen applikasjoner i organisasjonens klient-PC fungerer dårlig med DEP kan disse legges inn som unntak.
DEP støttes foreløpig ikke av Group Policy.
Oppsummering
DEP vil først hjelpe etter at exploit-koden har kommet inn på systemet og faktisk prøver å utnytte en sårbarhet, enten i operativsystem eller andre programmer. Det beste er såklart å unngå å få exploit-koden inn på systemet og ikke å ha sårbarheter i systemet.
Uansett hvor godt en er sikret, kan en alltid bli utsatt for en exploit som det enda ikke finnes noen patch for. Da er DEP god å ha som en siste forsvarsmur.
Her er en detaljert beskrivelse fra Microsoft rundt DEP.
Ingen kommentarer:
Legg inn en kommentar