"Hardware-gestützter Stapelschutz im Kernel-Modus" fehlt

[PC295]

Warum willst du unbedingt eine Funktion aktivieren, die keinen Sicherheitsgewinn bringt,
dafür aber jede Menge Probleme?
https://www.computerbase.de/forum/t...el-modus-macht-probleme-mit-battleye.2140473/

 

[Ray519]

Warum willst du unbedingt eine Funktion aktivieren, die keinen Sicherheitsgewinn bringt,

Wer sagt, dass das keinen Sicherheitsgewinn bringt?

Bloß weil Anti-Cheat-Software / DRM absichtlicht abstrusen Code enthält um schwer reverse-engineerbar zu sein, heißt das noch lange nicht, das Control Flow Integrity Maßnahmen nicht wirken.

Die schränken gewaltig ein, was für Möglichkeiten Angreifer haben, Code mit Dingen wie ROP zu manipulieren.

 

[PC295]

Wer sagt, dass das keinen Sicherheitsgewinn bringt?

Bei den Funktionen geht es hauptsächlich um das Blockieren der Treiber, die für die Kommunikation von Geräten (z.B. Webcam, Drucker) als auch im Programmen und Spielen zum Einsatz kommen.

Davon haben wir mittlerweile nun drei solcher Funktionen, als gäbe es gerade nichts gefährlicheres als Treiber...

Eine Gefährdung gibt es meistens dann, wenn Treiber veraltet sind und Sicherheitslücken aufweisen.

Schaut man z.B. in die MS-Sperrliste, findet man dort Programme/Treiber, bei denen es nie Sicherheitsrisiken gab, Programme/Treiber die regelmäßig Updates erhalten, sowie auch zukünftige Treiberdateiversionen.

Man bildet hier also keine aktuelle Bedrohungslage ab, sondern reine Willkür und Vorverurteilung.

 

[CoMo]

So wie ich das hier verstehe, geht es um alle Programme, die auf dem Rechner laufen https://en.wikipedia.org/wiki/Shadow_stack

Kannst du näher ausführen, warum die Option in Windows sich nur auf Treiber beziehen soll?

 

[Ray519]

Na das Feature ist "Kernel-Modus", das ist also nur im Kernel an, also nicht normale Anwendungen.
Und der kritische Teil von Treibern ist halt im Kernel. Aber der gesamte restliche Kernel eben auch.

Und CFI ist grundsätzlich nur eine sekundäre Schutzmaßnahme, genau wie ASL (Address-Space-Randomization). Es verhindert nicht Sicherheitslücken, die Angreifern Speicherzugriff geben, aber es verhindert dann viel Möglichkeiten, diesen Speicherzugriff für zB Code-Execution auszunutzen.

Und natürlich will man den Kernel besonders schützen, da er Programme von einander isoliert und Rechte durchsetzt. Rootkits leben zB im Kernel.
Hat auch Vorteile, selbst wenn man gar nicht an Sicherheitslücken denkt, sondern nur normale Bugs. Treiber im Kernel beeinflussen den gesamten Kernel, wenn sie spinnen. Mit sowas fällt das eher auf und dann auch sehr wahrscheinlich welcher Treiber dran schuld ist, bevor das System völlig instabil wird.