Een gratis programma dat Windows-gebruikers tegen exploits moet beschermen is niet alleen eenvoudig te omzeilen, het maakt gebruikers ook kwetsbaar, aldus onderzoeker Andrew Ruef. Hij onderzocht het programma ExploitShield. De makers beweren dat de software gebruikers tegen exploits beschermt. Aanvallen die beveiligingslekken in geinstalleerde programma's misbruiken.

ExploitShield werkt echter alleen als de aanvaller niet weet dat het wordt gebruikt, stelt Ruef. Weet de aanvaller dat de software aanwezig is, dan kan hij die eenvoudig omzeilen. Ruef geeft in zijn analyse twee voorbeelden van hoe dit is te doen. "Defensieve systemen zoals deze zijn volledig afhankelijk van obscuriteit. Zodra de aanvallers het hebben bestudeerd, verliezen de systemen hun waarde", aldus de onderzoeker.

Tijdcapsule
Eén van de problemen voor ExploitShield is dat de feedbackloop de makers en gebruikers niet informeert dat de aanvaller zich aan de software heeft aangepast. Een ander probleem is dat de obscuriteit van een systeem lastig te bewaren is. De software moet namelijk beschikbaar voor gebruikers zijn, wat betekent dat ook aanvallers er toegang toe kunnen krijgen.

"ExploitShield is een tijdcapsule met de beste host-gebaseerde beveiligingstechnologie uit 2004", concludeert Ruef. Hij ziet het niet als een waardevolle toegang voor computers. "De gebruikte technieken zijn volledig afhankelijk van obscuriteit en geheimzinnigheid, vereisen zeer weinig werk om te omzeilen en hebben alleen effect op het laatste gedeelte van de aanval, de payload, en niet de exploit."

Kwetsbaar
In vergelijking met andere verdedigingstechnologieën, zoals Microsoft's Enhanced Mitigation Experience Toolkit (EMET) schiet ExploitShield tekort, gaat Ruef verder. Hij waarschuwt dat het programma het aanvalsoppervlak vergroot, omdat het een kernel-mode driver installeert die berichten van andere gebruikers op het systeem verwerkt. Lekken in de driver maken het mogelijk voor aanvallers om hun rechten op het systeem te verhogen.