Microsoft Attack Surface Analyzer

Der Attack Surface Analyzer dient im Wesentlichen dazu, Veränderungen der Sicherheitslage aufzudecken, die sich durch die Installation neuer Programme ergeben. Dazu stellt das Programm zwei Momentaufnahmen eines Windows-PCs gegenüber.

Das ist zwar für PC-Anwender durchaus interessant, doch ist die Bedienung des Programms so gehalten, dass mit den Analysen und Funktionen des Tools eigentlich nur Support-Profis und Software-Entwickler etwas anfangen können.

Für normale PC-Nutzer ist das Tool in weiten Teilen zu komplex. Microsoft selbst setzt Attack Surface Analyzer der Beschreibung auf der Webseite zufolge ein, um die Sicherheit seiner Entwickler-PCs zu überwachen.

Um mit Attack Surface Analyzer einen System-Check durchzuführen, sind immer drei Schritte erforderlich.

Erstens: Unmittelbar vor der Installation eines neuen Programms erfolgt ein kompletter Scan des Systems.

Zweitens: Dann installiert man die neue Software und startet sie, gefolgt von einem zweiten Scan mit Attack Surface Analyzer.

Drittens: Das Programm vergleicht die in den beiden Scan-Durchgängen gewonnenen Daten, um Sicherheitslücken aufzudecken, die durch die Installation der neuen Software entstanden sind.

Da der Scan unter anderem alle Dateien auf allen angeschlossenen Laufwerken durchzählt, hängt die Dauer eines Scan-Durchgangs stark von der individuellen Systemkonfiguration ab. Auf unserem Testsystem mit rund 2 TByte Festplattenspeicher verteilt auf vier Laufwerke dauerte ein Durchgang etwa fünf Minuten. Die abschließende Analyse nahm rund drei Minuten in Anspruch.

Nach der Installation und dem ersten Start von Attack Surface Analyzer aktivieren Sie unter „Please select an action“ die Auswahl „Run new scan“ und klicken auf „Run Scan“. Während des Scans sehen Sie die Liste der Prüfpunkte, die abgearbeitet werden.

Dazu gehören etwa die Anzahl der Registry-Schlüssel, geöffnete Netzwerk-Ports, laufende Prozesse, offene Fenster oder eine Auswertung von Event-Logs.

Die Ergebnisse speichert das Tool als CAB-Datei, deren Namen und Speicherort es unter dem Vermerk „Scan complete“ anzeigt. Sobald das geschehen ist, installieren Sie die Software, die Sie überprüfen wollen. Lassen Sie Attack Surface Analyzer währenddessen ruhig geöffnet. Falls die Installation einen Neustart erforderlich macht, rufen Sie das Tool danach neu auf. Dann starten Sie den Vergleichs-Scan. Der Ablauf ist dabei der gleiche wie im ersten Durchgang.

Nachdem der zweite Scan abgeschlossen ist, aktivieren Sie die Option „Generate standard attack surface report“ und klicken auf „Generate“. Ein Fenster zeigt an, dass die beiden Reportdateien geladen und analysiert werden. Danach öffnet sich der Ergebnisreport im Standardbrowser.

Die Ergebnisse lassen sich verfeinern, indem Sie etwa gezielt ausgewählte Programmfunktionen aktivieren oder deaktivieren und jeweils einen neuen Scan durchführen. Zudem lassen sich über die „Browse…“-Buttons beliebige CAB-Dateien auswählen und vergleichen. Dazu muss lediglich der unter „Product Cab“ gewählte Report neuer sein als der Eintrag bei „Baseline Cab“.

Die Ergebnisreports legt das Tool in getrennten Ordnern im gleichen Verzeichnis ab wie die CAB-Dateien. Dort können Sie sie auch später durch Aufruf der Datei „report.html“ immer wieder anzeigen.

Jeder Report zeigt unter „Report Summary“ zunächst allgemeine Systeminfos und die verwendeten CAB-Dateien an.

Spannend wird es im zweiten Reiter „Security Issues“. Hier stehen Sicherheitslücken, die das überprüfte Programm für Angreifer verwundbar machen. Ein Klick auf den Link „Explain…“ in der Kopfzeile jeder Kategorie öffnet eine Hilfedatei, die einige Erläuterungen zu der erkannten Lücke liefert. Sie lässt sich unter dem Namen „help.html“ im jeweiligen Report-Ordner auch direkt aufrufen.

Im dritten Reiter „Attack Surface“ präsentiert der Report schließlich die Liste der relevanten Abweichungen zwischen den beiden Scan-Durchgängen. Hier sehen Sie zum Beispiel, welche laufenden Prozesse hinzugekommen sind, welche DLLs geladen, welche Firewall-Regeln geändert oder welche Netzwerk-Ports geöffnet wurden. Ein Klick auf die blauen Links am rechten Rand zeigt an, welche Rechte einem Prozess, einer Datei oder einem Kommunikationskanal zugeordnet sind.

Attack Surface Analyzer richtet sich an IT-Profis, die damit ihre eigenen Programme auf Sicherheitslücken überprüfen können. Privatanwender haben zum Beispiel normalerweise gar nicht die Möglichkeit, eine Anwendung neu zu kompilieren, wenn ein untersuchtes Tool – bei unseren Tests ausgerechnet Winword – auf ein nicht gesetztes NXBit hinweist. Sie werden aber auf jeden Fall gewarnt, wenn sich bei einem Programm potenzielle Sicherheitsprobleme häufen.