Attack Surface Analyzer: Security-Scan nach Software-Installation


Tags:
I like Google Plus

Microsoft veröffentlichte die Version 1.0 des Attack Surface Analyzer. Das kostenlose Tool dient dazu, das System auf mögliche Schwachstellen zu überprüfen, die durch die Installation einer Software entstanden sein können. Es soll sowohl Administratoren als auch Entwickler ansprechen.

Um sicherheitsrelevante Veränderungen durch die Installation einer Anwendung nachvollziehen zu können, sind Analysen des Vorher- und des Nachherzustands erforderlich. Die Ergebnisse speichert das Tool jeweils in einer cab-Datei. Der Scan vor der Software-Installation erzeugt die Baseline CAB, danach folgt die Product CAB.

Report über Änderungen durch Software-Installation

Nach der Auswahl der zu vergleichenden Systemzustände kann man einen Report im HTML-Format generieren. Neben einer allgemeinen Übersicht enthält er eine Registerkarte, die explizite Risiken zeigt, sowie unter Attack Surface eine detaillierte Analyse der Systemänderungen. Darunter fällt auch eine Liste mit allen neu hinzugefügten Dateien.

Der Attack Surface Analyzer vergleicht den Systemzustand vor und nach einer Software-Installation.

Prüfung von ACLs und NX-Bit

Zu den Prüfungen des Attack Surface Analyzer gehört die Untersuchung von ACLs, also der Zugriffsrechte auf neu installierte Programmdateien, Registry-Schlüssel sowie auf Prozesse und Threads. Sie sollen keine schreibenden Zugriffe ohne administrative Rechte zulassen. Das Tool sucht zudem nach Prozessen ohne NX-Bit, das für die Data Execution Prevention (DEP) erforderlich ist, sowie nach Diensten, die nach einem Fehler sofort wieder starten und daher für Angriffe missbraucht werden können.

Systemvoraussetzungen

Der Attack Surface Analyzer benötigt das .NET Framework 4 setzt mindestens Vista oder Windows Server 2008 voraus, unterstützt wird auch Server Core. Es liegt in einer 32-Bit-Version und in einer 64-Bit-Ausführung vor. Der Security Scan ist nur auf der lokalen Maschine möglich, eine Untersuchung von Remote-PCs ist nicht vorgesehen.

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen