Treiber von Sicherheitssoftware gefährden Systemstabilität
Diverse Sicherheitsprodukte für Windows klinken sich in Systemfunktionen ein, um den Rechner zu überwachen. Aufgrund schlampiger Programmierung gefährden sie dabei aber die Stabilität des Systems.
Der Sicherheitsdienstleister Matousec hat neben Informationen zu Schwachstellen in Treibern von diversen Sicherheitsprodukten auch ein Werkzeug veröffentlicht, mit dem interessierte Nutzer und Programmierer selber die saubere Implementierung von Kernel-Modus-Treibern überprüfen können. Die Treiber der Windows-Sicherheitslösungen klinken sich in Systemfunktionen im System Service Descriptor Table (SSDT) ein, um den Rechner zu überwachen. Dabei filtern sie jedoch häufig an sie übergebene Parameter nicht ordentlich, wodurch dann Fehler im Kernel-Kontext auftreten, durch die das System etwa abstürzt oder untergeschobener Code zur Ausführung kommt. Lokale Anwender können dann beispielsweise ihre Rechte im System ausweiten.
In der Analyse beschreiben die Sicherheitsexperten von Matousec, wie es zu den häufiger gefundenen Fehlern kommt – und wie Programmierer sie vermeiden können. Auch Microsoft stellt Dokumente bereit, die Richtlinien für die saubere Treiberprogrammierung beschreiben.
Matousec stellt in der Analyse auch das Werkzeug BSODhook vor und bietet es kostenlos zum Download an. Damit können Programmierer und interessierte Anwender Systemfunktionen, in die sich etwa Sicherheitssoftware eingeklinkt hat, mit unterschiedlichen Parametern aufrufen. Wenn ein Treiber einen Aufruf nicht ordentlich filtert, kommt es in der Regel zu einem Systemabsturz – alle nicht gespeicherten Änderungen im System gehen dann verloren.
Mit BSODhook haben die Forscher in zahlreichen Sicherheitsprodukten fehlerhafte Treiberimplementierungen aufgespürt. Betroffen sind laut der Matousec-Analyse folgende Produkte:
- BlackICE PC Protection 3.6.cqn
- G DATA InternetSecurity 2007
- Ghost Security Suite beta 1.110 and alpha 1.200
- Kaspersky Internet Security 7.0.0.125
- Norton Internet Security 2008 15.0.0.60
- Online Armor Personal Firewall 2.0.1.215
- Outpost Firewall Pro 4.0.1025.7828
- Privatefirewall 5.0.14.2
- Process Monitor 1.22
- ProcessGuard 3.410
- ProSecurity 1.40 Beta 2
- RegMon 7.04
- ZoneAlarm Pro 7.0.362.000
Bei den meisten Produkten handelt es sich um die aktuellen Versionen, für die es derzeit noch keine Updates gibt.
Siehe dazu auch:
- Analyse und Download von Matousec
(dmk)
