Virenexperten: Vistas Kernelschutz PatchGuard bald geknackt
Angreifer dürften die Kernelschutzfunktion PatchGuard bald aushebeln, um Systeme mit Rootkits und anderen Schädlingen zu infizieren. Microsoft will etwaige Schwachstellen nachträglich mit Updates schließen.
- Daniel Bachfeld
Kurz nachdem Microsoft die finale Version von Windows Vista veröffentlicht hat, dürften Angreifer es schaffen, die Kernelschutzfunktion PatchGuard auszuhebeln, um Systeme mit Rootkits und anderen Schädlingen zu infizieren. Diese Erwartung äußerte zumindest Aleksander Czarnowski von AVET auf der diesjährigen Virus Bulletin Conference in Montreal in seinem Vortrag. Allerdings sei nicht davon auszugehen, dass die Angreifer damit öffentlich hausieren gehen. Vielmehr würden sie ihr Wissen unter Verschluss halten und heimlich nutzen.
PatchGuard soll den Kernel von Vista vor Manipulation von Schadcode schützen. Bei Windows XP ist es etwa für Rootkits relativ einfach, den Kernel zu manipulieren, um Schädlinge vor den Zugriffen von Antivirenprogrammen zu verstecken. Allerdings wird es PatchGuard nur für die 64-Bit-Version von Vista geben und später für die 64-Bit-Version von XP. Ob sich diese Versionen so schnell durchsetzen, ist fraglich, da kaum eine Software großen Nutzen daraus ziehen kann und zudem noch nicht alle Treiber für 64 Bit verfügbar sind.
Microsoft sieht PatchGuard ohnehin nur als eine höhere Hürde, die Angriffe erschwere, sie aber nicht unmöglich mache. "Auf 32-Bit-Systemen ist es leicht, auf den Kernel zuzugreifen. Dies versuchen wir unter Vista zu verhindern", schreibt Stephen Toulouse von Microsoft. Sollten Tricks bekannt werden, wie man PatchGuard umgeht, könne man dies mit einem Software-Update immer noch beheben.
Obwohl sich viele Sicherheitspezialisten des Themas angenommen haben, ist es aber noch keinem gelungen, PatchGuard in einer Beta-Version oder einem Release Candidate auszuhebeln. Einzig Joanna Rutkowska demonstrierte bislang, wie man Vistas Kernelschutz austricks. Dabei ging sie aber den Weg über signierte Kerneltreiber und nicht über PatchGuard.
Darüber hinaus tat sich Symantec mit der Analyse der Beta-Version hervor, musste aber eingestehen, dass die meisten der entdeckten Probleme in späteren Builds bereits behoben waren. McAfee beschwerte sich in einer ganzseitigen Anzeige in der Financial Times zudem, Microsoft würde mit dem PatchGuard die Integration der Produkte von Drittherstellern einschränken. (dab)
