Windows 10 und 11 nutzen eine Speicherisolation, damit Prozesse in voneinander getrennten virtuellen Adressräumen ausgeführt werden. Unter bestimmten Bedingungen kann jedoch ein gewöhnlicher Anwendungsprozess weiterhin auf den Speicher eines anderen Prozesses im Benutzermodus zugreifen. Das wirft die Befürchtung auf, dass Malware, die mit normalen Benutzerrechten ausgeführt wird, sensible Informationen wie Passwörter und Authentifizierungs-Tokens direkt aus dem Speicher eines Browsers oder Passwortmanagers auslesen könnte.
Im Laufe der Jahre haben zahlreiche Sicherheitsforscher gezeigt, wie einfach ein Prozess im Benutzermodus den Speicher eines anderen Prozesses unter Windows auslesen kann. Dieses Beispiel verdeutlicht, dass Windows nicht privilegierte Programme nicht daran hindert, den Speicher eines anderen Programms, das im selben Benutzerkontext ausgeführt wird, auszulesen. Die Folge: Sensible Daten, die von Anwendungen im Arbeitsspeicher vorhalten werden, können Ziel lokaler Malware werden.
Der Speicherabbild-Angriff auf Passwörter in Microsoft-Edge ist ein weiteres Beispiel für eine solches Vorgehensweise. Dass Klartext-Passwörter überhaupt im Speicher vorhanden sind, ist dabei nur ein Teil des Problems; die eigentliche Schwachstelle besteht darin, dass andere Prozesse ohne Einschränkungen auf diesen Speicher zugreifen können.
Als Reaktion auf diese anhaltende Bedrohung hat Keeper Security mit“ Keeper Forcefield“ eine Lösung entwickelt, die eine kritische Sicherheitslücke in Windows schließt, indem sie unbefugte Speicherzugriffe auf sensible Anwendungen blockiert. Dazu zählen unter anderem Edge, Chrome, Firefox, Passwortmanager sowie weitere sicherheitskritische Windows-Anwendungen. Forcefield sorgt für einen Speicherschutz auf Kernel-Ebene, um den Zugriff selbst durch nicht privilegierte Malware zu verhindern, ohne dabei die Benutzerfreundlichkeit zu beeinträchtigen.
Keeper-Forcefield ist die einzige Lösung ihrer Art, die unbefugte Prozesse vollständig daran hindern kann, auf den Speicher von Anwendungen zuzugreifen. Das bedeutet, dass selbst auf einem bereits kompromittierten System der beschriebene Angriff bei der Ausführung scheitert. Genau in solchen Szenarien – wenn ein Gerät bereits teilweise kompromittiert wurde – wird diese Art von Schutz relevant, was auch Microsoft selbst als kritische Risikoschwelle anerkennt.
Von Craig Lurey, CTO und Mitbegründer von Keeper Security
