Service Pack 2 Security Center nur bedingt vertrauenswürdig

Anwender sollten nur bedingt auf die Informationen des mit dem Service Pack 2 für Windows XP eingeführten Security Centers vertrauen. Diese lassen sich fälschen und sogar unterdrücken, zumindest wenn der Benutzer als Administrator arbeitet -- was wohl der Großteil immer noch tut. Das Security Center soll dem Anwender die Möglichkeit geben zu kontrollieren, ob Firewall, Auto-Update und Virenschutz aktiviert sind und ordnungsgemäß arbeiten. Zudem warnt das Security Center normalerweise mit einem roten Schild und einem Hinweis im System-Tray (rechts unten), wenn eine oder mehrere der drei Funktionen deaktiviert sind.

Allerdings lassen sich diese Warnungen auf einfache Weise abschalten. Dazu muss man in der Registry unter HKLM\SOFTWARE\Microsoft\Security Center die Schlüssel AntiVirusDisableNotify, FirewallDisableNotify und UpdatesDisableNotify auf 1 setzen. Schaltet nun etwa ein Trojaner oder eine Backdoor die Firewall ab, so erscheint keine Warnung. Nur beim direkten Aufruf des Security Centers sieht man, dass der Dienst deaktiviert ist.

Das PC Magazine hat aber nach eigenen Angaben Wege gefunden, um auch diese Angaben zu fälschen. Demnach reichen einige Einträge in die WMI-Datenbank (Windows Management Instrumentation), um dem Anwender die ordentliche Funktion vorzutäuschen. Über die WMI-API lässt sich so der Status der Firewall als "Aktiviert" festlegen, auch wenn diese gar nicht läuft. Zudem kann man nicht existierende Firewalls und Virenscanner in die Datenbank eintragen und als "Aktiviert" anzeigen.

Mitunter muss ein Schädlingsprogramm, das etwa eine Backdoor öffnen will, gar nicht die Firewall deaktivieren und dies anschließend verschleiern. Unter dem Schlüssel der Ausnahmeliste
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List lassen sich von jeder Applikation Einträge vornehmen, um fortan Verbindungen auf einem Server-Port entgegenzunehmen. Zusätzlich kann es auch die Firewall-API ohne Benutzernachfrage aufrufen, um sich den benötigten Port freizuschalten.

Ist ein Schädling also erstmal ins System eingedrungen, halten ihn die neuen Funktionen nicht auf. Microsofts Kommentar zu dem Problem geht in die gleiche Richtung: "Service Pack 2 bietet Funktionen, um die Wahrscheinlichkeit zu verringern, dass auf dem PC ungewollte Applikationen laufen. Dazu sind die Firewall, die Data Execution Prevention und der Attachment Execution Service standardmäßig aktiv, um nur einige zu nennen. Um die WMI-Einträge des Security Centers zu fälschen, muss man System-Zugriff auf den PC haben. Wenn der Anwender Programme herunterlädt und startet, die dazu in der Lage sind, hat er damit ohnenhin Hacker in die Lage versetzt, zu tun und zu lassen, was sie wollen."

Abhilfe schafft hier nur das Arbeiten mit eingeschränkten Nutzerrechten. Dann nämlich ist der schreibende Zugriff auf die wichtigen Teile der Registry und die WMI-Datenbank nicht mehr möglich. Wie man auch ohne Administratorrechte unter Windows arbeiten kann, zeigt der Artikel Sicher durch Verzicht, c't 15/04, Seite 106. Mit der fehlenden Umstellung von Benutzeraccounts durch Service Pack 2 setzt sich auch der Kommentar auf heise Security "Was in Service Pack 2 wirklich fehlt..." auseinander. (dab)