Attack Surface Analyzer: Security-Scan nach Software-Installation

    , 06.08.2012, zuletzt aktualisiert am 25.09.2012
    Tags:

    Microsoft veröffentlichte die Version 1.0 des Attack Surface Analyzer. Das kostenlose Tool dient dazu, das System auf mögliche Schwachstellen zu überprüfen, die durch die Installation einer Software entstanden sein können. Es soll sowohl Administratoren als auch Entwickler ansprechen.

    Um sicherheitsrelevante Veränderungen durch die Installation einer Anwendung nachvollziehen zu können, sind Analysen des Vorher- und des Nachherzustands erforderlich. Die Ergebnisse speichert das Tool jeweils in einer cab-Datei. Der Scan vor der Software-Installation erzeugt die Baseline CAB, danach folgt die Product CAB.

    Report über Änderungen durch Software-Installation

    Nach der Auswahl der zu vergleichenden Systemzustände kann man einen Report im HTML-Format generieren. Neben einer allgemeinen Übersicht enthält er eine Registerkarte, die explizite Risiken zeigt, sowie unter Attack Surface eine detaillierte Analyse der Systemänderungen. Darunter fällt auch eine Liste mit allen neu hinzugefügten Dateien.

    Der Attack Surface Analyzer vergleicht den Systemzustand vor und nach einer Software-Installation.

    Prüfung von ACLs und NX-Bit

    Zu den Prüfungen des Attack Surface Analyzer gehört die Untersuchung von ACLs, also der Zugriffsrechte auf neu installierte Programmdateien, Registry-Schlüssel sowie auf Prozesse und Threads. Sie sollen keine schreibenden Zugriffe ohne administrative Rechte zulassen. Das Tool sucht zudem nach Prozessen ohne NX-Bit, das für die Data Execution Prevention (DEP) erforderlich ist, sowie nach Diensten, die nach einem Fehler sofort wieder starten und daher für Angriffe missbraucht werden können.

    Systemvoraussetzungen

    Der Attack Surface Analyzer benötigt das .NET Framework 4 setzt mindestens Vista oder Windows Server 2008 voraus, unterstützt wird auch Server Core. Es liegt in einer 32-Bit-Version und in einer 64-Bit-Ausführung vor. Der Security Scan ist nur auf der lokalen Maschine möglich, eine Untersuchung von Remote-PCs ist nicht vorgesehen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links