Rootkit infiltriert Beta-Version von Windows Vista

Wie angekündigt, demonstrierte die Sicherheitsexpertin Joanna Rutkowska auf der Hacker-Konferenz Black Hat eine Technik, mit der sich die Kernel-Schutzmechanismen der Beta-2-Version von Windows Vista aushebeln lassen.

Obwohl die x64-Version von Vista ausschließlich signierte Kernel-Treiber akzeptieren soll, gelang es Rutkowska, ihren eigenen, unsignierten Code in den Vista-Kernel zu laden. Dazu forderte Rutkowskas Hack so viel Arbeitsspeicher an, dass Vista bereits geladene Kerneltreiber in den virtuellen Speicher auf der Festplatte auslagern musste. Die dort ungeschützt liegenden Speicherteile konnte sie dann manipulieren, um eigene Treiber einzuschleusen. Als Gegenmittel empfahl Rutkowska Microsoft, Usermode-Anwendungen generell den direkten Zugriff auf die Festplatte zu verbieten oder das Pagefile zu verschlüsseln. Eine dritte Möglichkeit wäre, das Auslagern von Kernel-Code ganz zu vermeiden.

Microsofts Entwicklungsleiter für Windows-Clients Austin Wilson nahm gegenüber US-Medien Stellung zu dem geglückten Hack. Für den Angriff seien immerhin Administratorrechte nötig, betonte er. Die Vorschläge der Forscherin werde man überprüfen, die Auslieferung von Vista werde man deshalb aber nicht hinauszögern. Microsofts Sicherheitschef Ben Fathi meinte dagegen, das Einfallstor, das Rutkowska nutze, hätte Microsoft bereits geschlossen.

Rutkowska lobte Microsoft für die Entscheidung, nur signierte Kernel-Treiber zuzulassen. "Dass dieser Mechanismus umgangen wurde, bedeutet nicht, dass Vista vollkommen unsicher wäre", sagte sie, "Es ist einfach nicht so sicher, wie versprochen". Eine hunderprozentige Kernel-Sicherheit ließe sich bei einem universell einsetzbaren Betriebssystem ohnehin kaum erreichen, betonte sie. Hacker würden immer einen Weg finden, um den Schutz auszuhebeln. Dem stimmte auch Ben Fathi zu. "Wir sind froh, dass die Forscher diese Dinge aufdecken und uns mitteilen, solange Vista noch im Beta-Stadium ist".

Im zweiten Teil ihrer Präsentation zeigte Rutkowska dann ihr mit Spannung erwartetes Virtual Machine Based Rootkit (VMBR). Das Blue Pill getaufte Rootkit verschiebt das laufende Betriebssystem in eine virtuelle Umgebung – ganz ohne Neustart und für den Anwender unsichtbar – und ist so aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren. Microsoft, die selbst an dem hauseigenen VMBR SubVirt forschen, nimmt die neuartige Bedrohung ziemlich ernst. Man wolle bis zur finalen Vista-Version Wege finden, wie sich ein derartiger Angriff verhindern lässt. Dabei arbeite man mit Intel und AMD zusammen, um zu erörtern, wie sich das Problem lösen ließe. (kav)