Schutz vor Malware

Eines der am häufigsten diskutierten Themen im Zusammenhang mit Windows 8 ist die Sicherheit und Zuverlässigkeit von Windows als Computerumgebung. Bisher haben wir stets eine breite Palette an Lösungen für diese Zielsetzung bereitgestellt und eng mit einer Vielzahl von Partnern aus der Branche zusammengearbeitet. In Windows 8 erweitern wir diese Funktionalität und stellen dabei sicher, dass dem Benutzer immer Auswahl- und Steuerungsmöglichkeiten für den Schutz und die Verwaltung des PCs zur Verfügung stehen. Der von Defender gebotene Schutz wird unter Windows 8 erweitert, um einer größeren Anzahl potenzieller Bedrohungen begegnen zu können. Dieser Beitrag, in dem die Arbeit mehrerer Teams erörtert wird, wurde von Jason Garms verfasst, dem Gruppenprogrammmanager unseres Teams für Zuverlässigkeit und Sicherheit. –Steven

Ich freue mich darauf, Ihnen einige der Neuerungen in Windows 8 vorzustellen, mit denen der Schutz vor der sich ständig verändernden Malware („Malware“) verbessert werden soll. In diesem Blog möchte ich auf die erweiterten Risikominderungs-Features eingehen, die dem Schutz vor den von Malware genutzten Exploits dienen. Außerdem werde ich die Verbesserungen an Windows Defender, die Ihnen Echtzeitschutz vor allen Malwarekategorien bieten, und die Verwendung von URL- und Anwendungsreputation als Schutz vor Social Engineering-Angriffen erörtern.

Die aktuelle Lage

Kriminelle Angriffe entwickeln sich ständig weiter, und Malware ist zum Standard für Angriffe auf alle Personen geworden, die das Internet nutzen, sowohl auf herkömmlichen Computern als auch auf mobilen Geräten wie Tablets und Smartphones. Alle Betriebssysteme und Browser kommen als Ziel für Malware infrage, und in den letzten Jahren haben kriminelle Angriffe auf Anwendungen deutlich zugenommen.

Verbrecher setzen auch Social Engineering ein, um die Benutzer zu risikobehafteten Aktionen zu verleiten. Bei einer immer häufiger werdenden Social Engineering-Strategie werden Onlinewerbekampagnen dazu genutzt, die Benutzer auf eine Website zu locken, von der Malware auf dem Computer installiert wird.

Es hat sich ein regelrechter Handel mit zuverlässig nutzbaren Sicherheitslücken-Exploits entwickelt, die von Verbrechern zum Verteilen ihrer Malware gekauft werden. Verbrecher erzielen ihre Gewinne mit ihrer Malware. Folglich investieren sie, um die Malware nutzbar zu halten, beispielsweise durch die Entwicklung einer größeren Menge an Malware, häufigere Updates (oft sogar mehrmals am Tag) und eine größere Komplexität. Einige Malware ist genauso komplex wie kommerzielle Anwendungen.

Integrierte Sicherheit

Wir setzen den Security Development Lifecycle (SDL) ein, um den besten verfügbaren Sicherheitsentwurf und die optimalen Entwicklungs- und Testverfahren für Windows nutzen zu können. Zu den Highlights zählen:

  • Gefahrenmodellierung und Prüfungen des Sicherheitsentwurfs. Im Verlauf der Entwicklung berücksichtigen wir mögliche Angriffsarten auf Features sowie entsprechende Szenarien und beziehen diese Analyse in die Entwürfe ein.
  • Schreiben von sicherem Code. Durch Training und Tools zum Prüfen der Codequalität wird verhindert, dass sich häufige Codefehler in den Quellcode von Windows einschleichen.
  • Penetrationtests. Die Sicherheitstechniker schlüpfen in die Rolle eines Angreifers und prüfen einen fertig gestellten Satz von Features, die ein Szenario bilden.
  • Sicherheitscodeprüfungen. Die Sicherheitstechniker führen für besonders anfällige Komponenten zusätzliche sicherheitsorientierte Codeprüfungen durch.
  • Sicherheitstools. Vorhandener Code wird mithilfe skalierbarer und fortlaufend aktualisierter Tools verbessert, in denen modernste Methoden zum Finden und Ausnutzen von Softwaresicherheitslücken zum Einsatz kommen.

Erschweren von Exploits unter Windows 8

Seit Windows XP SP2 haben wir mit sogenannten Risikominderungen begonnen, die das Entwickeln von zuverlässig nutzbaren Sicherheitslücken-Exploits erschweren. In jeder nachfolgenden Windows-Version wurden diese Minderungen weiter ausgebaut und verbessert, da ein einziges Minderungsfeature eine ganze Klasse von Exploits unbrauchbar machen kann. Windows 8 bietet Minderungsverbesserungen, um die Wahrscheinlichkeit häufiger Angriffe weiter zu verringern. Zu diesen Verbesserungen gehören unter anderem:

  • Zufällige Anordnung des Adressraums-Layouts (Address Space Layout Randomization, ASLR). ASLR wurde erstmals in Windows Vista eingeführt. Hierbei wird der Großteil an Code und Daten im Arbeitsspeicher zufällig angeordnet, um zu verhindern, dass sich Code und Daten auf allen Computern an der gleichen Position im Adressraum befinden. In Windows 8 haben wir den ASLR-Schutz auf weitere Komponenten von Windows ausgedehnt und Verbesserungen eingeführt, z. B. eine noch zufälligere Anordnung, die viele bekannte Methoden zur Umgehung von ASLR unbrauchbar machen.
  • Windows-Kernel. In Windows 8 werden viele der Minderungen, die bislang nur für Anwendungen im Benutzermodus galten, in den Windows-Kernel miteinbezogen. Dies verbessert den Schutz vor den häufigsten Bedrohungen. Beispielsweise wird ab sofort das Zuweisen des unteren 64K-Prozessspeichers durch Benutzermodusprozesse unterbunden. Dies verhindert die Ausnutzung einer ganzen Klasse von NULL-Dereferenzierungsanfälligkeiten. Außerdem haben wir Integritätsprüfungen für die Zuweisung von Kernel-Pool-Speicher hinzugefügt, um Angriffe zu verhindern, die den Kernel-Pool beschädigen.
  • Windows-Heap. Speicher wird Anwendungen dynamisch vom Windows-Benutzermodus-Heap zugewiesen. Die tiefgreifende Neugestaltung des Windows 8-Heaps sorgt für einen deutlich besseren Schutz in Form neuer Integritätsprüfungen vor einer Vielzahl von Exploit-Techniken. Außerdem erfolgen die Zuweisungen durch den Windows-Heap jetzt zufällig, um zu verhindern, dass Exploits eine vorhersagbare Platzierung von Objekten nutzen – dies ist dasselbe Prinzip, das auch ASLR so erfolgreich macht. Zudem haben wir bestimmten Typen von Heap-Zuweisungen Schutzseiten hinzugefügt, die Exploits durch den Überlauf des Heaps verhindern.
  • Internet Explorer. „Use-after-free“-Anfälligkeiten stellen ca. 75 % der in den letzten zwei Jahren in Internet Explorer berichteten Anfälligkeiten dar. Unter Windows 8 haben wir Internet Explorer mit Schutzfunktionen versehen, die das Erstellen einer ungültigen virtuellen Funktionstabelle durch Angereifer verhindern, um diese Angriffe zu erschweren. Außerdem nutzt Internet Explorer sämtliche Vorteile der Verbesserungen an ASLR in Windows 8.

Fernhalten der Malware von Ihrem PC

Ein effizienter Schutz vor Malware ist für alle Geräte mit Internetverbindung unerlässlich. Fast alle derzeit erhältlichen Windows-PCs enthalten eine herkömmliche Malwarelösung, selbst wenn es sich hierbei häufig um eine zeitlich begrenzte bzw. eine Testversion handelt.

Kurz nach der allgemeinen Veröffentlichung von Windows 7 im Oktober 2009 zeigten unsere Telemetriedaten, das nahezu alle Windows 7-PCs über eine aktuelle Antimalware-Software verfügten. Jedoch nahm der Anteil in den folgenden Monaten ab, was vermutlich auf das Auslaufen der Testversionen der Antimalware-Software zurückzuführen ist. Nach einem Jahr verfügten mindestens 24 % der Windows 7-PCs über keinen aktuellen Schutz vor Malware. Unsere Daten haben auch ergeben, dass PCs, deren Schutz ausläuft, längere Zeit ungeschützt bleiben. Und wenn eine Antimalware-Software auch nur eine Woche nicht aktualisiert wird, sinkt der Schutz vor neuer Malware erheblich.

Wir sind der Auffassung, dass alle Windows 8-Benutzer eine herkömmliche Antimalware-Software verwenden sollten, die eine effizienten, branchenweit anerkannten Schutz bietet. Es sind eine Reihe großartiger Anitmalwarelösungen erhältlich, bei denen wir davon ausgehen, dass diese aktualisiert wird, um Windows 8-PCs zu schützen. Außerdem ist zu erwarten, dass die meisten Hersteller Windows-PCs weiterhin mit diesen Lösungen ausliefern.

Windows Defender

Wenn Sie keine andere Lösung installieren, bietet Windows 8 Schutz durch eine deutlich verbesserte Version von Windows Defender.

Verbesserter Schutz vor sämtlichen Malwaretypen Die Verbesserungen an Windows Defender sorgen für einen Schutz vor sämtlichen Malwaretypen, einschließlich Viren, Würmern, Bots und Rootkits. Hierfür wird ein umfassender Satz von Malwaresignaturen aus dem Microsoft Center zum Schutz vor Malware verwendet, der regelmäßig gemeinsam mit der neuesten Microsoft Antimalware Engine über Windows Update bereitgestellt wird. Dieser erweiterte Satz von Signaturen stellt gegenüber vorherigen Versionen, die nur Signaturen für Spyware, Adware und möglicherweise unerwünschte Software enthielten, eine deutliche Verbesserung dar.

Zusätzlich bietet Windows Defender mithilfe eines Dateifiltersystems ab sofort auch eine Erkennung von sowie einen Schutz vor Malwarebedrohungen in Echtzeit und arbeitet mit dem sicheren Start von Windows zusammen, einer weiteren neuen Schutzfunktion von Windows 8.

Wenn Sie einen PC verwenden, der den UEFI-basierten sicheren Start (definiert in der UEFI 2.3.1-Spezifikation) unterstützt, sorgt der sichere Start von Windows für den Schutz sämtlicher Firmware sowie Firmwareaktualisierungen und für die unveränderte Erhaltung des gesamten Windows-Startpfads bis zum Antimalwaretreiber. Dies erfolgt dadurch, dass nur ordnungsgemäß signierter und geprüfter Code in den Startpfad geladen wird. Somit wird sichergestellt, dass böswilliger Code während des Startens bzw. Wiederherstellens nicht geladen werden kann. Außerdem verbessert dies den Schutz vor Startsektor- und Startlade-Viren sowie Bootkit- und Rootkit-Malware, die als Treiber geladen werden soll.

Die Schnittstellen für den sicheren Start sowie sämtliche APIs, die von Windows Defender verwendet werden, stehen auch unseren Antimalware-Partnern zur Verfügung, die zusätzliche Schutzsysteme für Windows-Kunden entwickeln.

  • Erhöhte Benutzerfreundlichkeit. Wir haben Windows Defender so entwickelt, dass dieser bei der täglichen Verwendung in den Hintergrund tritt, und Sie nur benachrichtigt, wenn die Sie eine Aktion durchführen müssen oder wichtige Informationen für Sie bereitstehen. Außerdem nutzt Windows Defender den neuen Wartungsplaner von Windows 8, um die Zahl der Unterbrechungen so niedrig wie möglich zu halten.
  • Verbesserte Leistung. Herkömmliche Antimalware-Technologien sind bekannt dafür, die Systemleistung zu beeinträchtigen. Es ist nicht ungewöhnlich, dass das Ausführen einer Antimalware-Software die für wichtige Aufgaben, wie das Kopieren von Dateien oder den Startvorgang, erforderliche Zeit verdoppelt. Wie Sie im Blog-Eintrag der letzten Woche gelesen haben, sind zahlreiche Mitarbeiter mit der Systemleistung betraut. Windows Defender steigert diese Leistung im Vergleich zu herkömmlichen Antimalware-Lösungen unter Windows 7 in allen wichtigen Szenarien erheblich, während ein starker Schutz erhalten bleibt. Beispielsweise verlängert Windows Defender mit sämtlichen Schutzfunktionen den Startvorgang lediglich um 4 %, während zugleich beim Start 75 % weniger CPU-Zeit, eine Datenträger-E/A von ca. 50 MB und ein Spitzen-Workingset von 100 MB erforderlich sind.

Dieselben Verbesserungen steigern die Energieeffizienz, d. h. Windows Defender verbraucht weniger Strom und verlängert somit die Akkulebensdauer.

Wir arbeiten während des Entwicklungsprozesses von Windows 8 weiterhin mit unseren Antimalware-Partnern zusammen, um Ihnen den besten Schutz Ihres PCs zu ermöglichen – ganz gleich, welche Antimalware-Lösung Sie verwenden. Wir stellen unseren Partnern Ressourcen zur Verfügung, wie beispielsweise die technischen Details unserer Leistungsverbesserungen an Windows Defender, damit die Partner vergleichbare Verbesserungen an ihren Produkten vornehmen können.

Microsoft SmartScreen für Internet Explorer und jetzt auch für Windows

Herkömmliche Antimalware-Software spielt eine entscheidende Rolle bei der Abwehr und Milderung von Angriffen. Jedoch können reputationsbasierte Technologien einen effizienten Schutz vor Social Engineering-Angriffen bieten, bevor herkömmliche Antimalware-Signaturen verfügbar sind. Dies gilt besonders für Malware, die als rechtmäßige Software ausgegeben wird.

Windows 8 verbessert mithilfe von reputationsbasierten Technologien den Schutz beim Starten von Anwendungen sowie beim Surfen mit Internet Explorer.

Seit dessen Veröffentlichung hat der SmartScreen-Filter die URL-Reputation verwendet, um einen Beitrag zur Verhinderung von mehr als 1,5 Milliarden versuchten Malware-Angriffen sowie 150 Millionen Phishing-Angriffen auf Internet Explorer-Kunden zu leisten. Die Anwendungsreputation eine neue Funktion, die SmartScreen in Internet Explorer 9 hinzugefügt wurde, bietet eine zusätzliche Verteidigungslinie, die dazu beiträgt, dass Sie sicherere Entscheidungen treffen, wenn URL-Reputation und herkömmliche Antimalware nicht ausreichen, um einen Angriff zu erkennen. Telemetriedaten zeigen, das 95 % der Internet Explorer 9-Benutzer sich entscheiden, Malware zu löschen bzw. nicht auszuführen, wenn diese eine Reputationswarnung der SmartScreen-Anwendung erhalten.

Wir ziehen in Betracht, dass Sie beim Herunterladen von Dateien aus dem Internet nicht nur Internet Explorer verwenden. Daher verwendet Windows ab sofort SmartScreen für die Prüfung der Anwendungsreputation beim ersten Start einer Anwendung, die aus dem Internet heruntergeladen wurde.

Unter Windows 7 wurde beim Starten von heruntergeladenen Anwendungen folgende Meldung angezeigt:

Sicherheitswarnung unter Windows 7 mit dem Text "Der Herausgeber konnte nicht verifiziert werden. Möchten Sie diese Software ausführen? Ausführen/Abbrechen; Diese Datei verfügt über keine gültige digitale Signatur, die den Herausgeber verifiziert...usw.

Unter Windows 8 werden Sie von SmartScreen nur benachrichtigt, wenn Sie eine Anwendung ausführen, für die keine Reputation vorliegt, und die daher ein größeres Risiko darstellt:

Sicherheitswarnung unter Windows 8 Developer Preview mit dem Text "Ihr PC wurde von Windows geschützt; Windows SmartScreen hat das Ausführen eines unbekannten Programms verhindert. Das Ausführen des Programms bedeutet ein Risiko für Ihren PC. Und zwei Schaltflächen: "Trotzdem ausführen" und "Nicht ausführen".

Bei Anwendungen mit einer Reputation ist die Benutzereingabe ganz einfach: Sie führen das Programm einfach per Mausklick aus. Die Aufforderung, die Sie aus Windows 7 kennen, ist nicht mehr vorhanden.

SmartScreen verwendet einen Marker, der Dateien beim Herunterladen hinzugefügt wird, um eine Reputationsprüfung auszulösen. Alle bekannten Webbrowser sowie zahlreiche E-Mail-Clients fügen heruntergeladenen Dateien diesen Marker hinzu, der als „Mark Of The Web“ bezeichnet wird.

Wir gehen davon aus, dass einem durchschnittlichen Benutzer weniger als zwei Mal pro Jahr eine SmartScreen-Aufforderung angezeigt wird, und dass im Fall einer Anzeige ein höheres Risiko besteht. Telemetriedaten zeigen, dass 92 % aller über Internet Explorer 9 heruntergeladenen Anwendungen bereits über eine Reputation verfügen und keine Warnung auslösen. Aus diesen Daten geht ebenso hervor, dass bei der Anzeige einer Reputationswarnung das Risiko einer Malware-Infektion 25 bis 70 % beträgt. Zusätzlich bietet SmartScreen administrative Steuerelemente, durch die Sie verhindern können, dass technisch unerfahrene Freunde oder Ihre Kinder diese Warnungen ignorieren.

Dieser Ansatz hat in Internet Explorer sehr gute Ergebnisse erbracht, und wir sind glücklich, denselben Ansatz auch für andere Windows-Szenarien verwenden zu können.

Im Folgenden finden Sie ein Video, im dem Windows Defender, SmartScreen-URL- und SmartScreen-Anwendungsreputation in Aktion dargestellt werden:

HTML5-Video wird in Ihrem Browser nicht unterstützt.

Laden Sie dieses Video herunter, und spielen Sie es in einem geeigneten Media-Player ab:
MP4 in hoher Qualität | MP4 in niedriger Qualität

Alles in allem haben wir den Schutz vor Malware in Windows 8 umfassend verbessert, einschließlich der Verwendung eigensicherer SDL-Prozesse, der Inplementierung und Aktualisierung einer Risikoabwehr zum Schutz vor Malware-Exploits, Verbesserungen an Windows Defender, die Ihnen einen Echtzeitschutz vor sämtlichen Malwaretypen bieten, sowie den Einsatz von URL- und Anwendungsreputation zum Schutz vor Social Engineering-Angriffen.

Vielen Dank

–Jason Garms