Microsoft veranstaltete Wettbewerb für neue Schutzfunktionen

Vor einem Jahr hat Microsoft einen Wettbewerb ins Leben gerufen, bei dem neue Schutzfunktionen entwickelt werden sollten.

 

Die Siegprämie von 250.000$ ging an den Forscher Vasilis Pappas für sein Konzept kBouncer, welches vor Return Oriented Programming (ROP) schützen soll.

 

Bei dieser Methode geht es darum, zu überprüfen, in welchem Kontext ein Programmcode ausgeführt wird. kBouncer überprüft über „Last Branch Recording (LBR)“ von üblichen Intelprozessoren, ob eine kritische Systemfunktion durch einen legitimen Call aufgerufen wurde. Da es sich dabei um eine Hardwarefunktion handelt, würde kBouncer kaum Systemressourcen benötigen.

 

Ivan Fratric, welcher den zweiten Platz belegte und damit 50.000$ Prämie erhielt, erreichte diesen mit seinem Konzept ROPGuard, bei dem er fünf weiter Checks beim Aufruf von kritischen Funktionen vorschlägt. Zuerst wird sichergestellt, das eine Funktion wirklich durch einen CALL-Befehl aufgerufen wurde und nicht etwa durch ein sogenanntes ROP-Gadget. Außerdem simuliert die „Execution flow simulation mitigation“ die ersten 15 Befehle die nach dem erfolgreichen Beenden der aktuellen Funktion ausgeführt würden. Auch hier kann man ROP-Gadgets und Shellcode erkennen und abwehren. Des Weiteren überwacht ROPGuard den Stack um mögliche Manipulationen festzustellen.

Autor: Andy Stern