Bug im Windows-Kernel könnte durch Schadcode missbraucht werden

Im Windows-Kernel schlummert seit Jahren eine Lücke, die in einigen Fällen dafür sorgen könnte, dass Malware vom Radar von Sicherheitssoftware verschwindet. Laut ihrem Entdecker zeigt sich Microsoft bislang aber eher desinteressiert.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Bug im Windows-Kernel könnte Schadcode vor Sicherheitssoftware verstecken

(Bild: breakingmalware.com)

Lesezeit: 2 Min.

Ein vermutlich bereits seit fast 20 Jahren vorhandener Windows-Kernel-Bug kann unter bestimmten Umständen die Malware-Erkennungsmechanismen von Sicherheitssoftware aushebeln. Entdeckt wurde er von Sicherheitsforscher Omri Misgav während einer Analyse des Windows-Kernels. Der Fehler findet sich in der API-Funktion PsSetLoadImageNotifyRoutine, die ursprünglich entwickelt wurde, um Kernelmode-Treiber per Callback immer dann zu informieren, wenn andere Treiber, Anwendungen oder DLLs im User Mode gestartet werden.

Wie Misgav in einem Blogeintrag beschreibt, soll die Callback-Funktion von PsSetLoadImageNotifyRoutine eigentlich Namen und Pfad der neu geladenen Komponente zurückliefern. In der Praxis fehle in den Rückgabewerten jedoch häufig die Laufwerksbezeichnung, oder sie beinhalteten missgestaltete Pfade, die gar nicht auf die richtige Komponente verwiesen. Mittels Kernel-Debugger fand er als Auslöser schließlich einen Codierungsfehler in der Verarbeitung und Zwischenspeicherung der Komponentenbezeichnung.

Laut dem Nachrichtenportal Bleepingcomputer nutzen einige AV-Hersteller die PsSetLoadImageNotifyRoutine-Funktion in ihren Produkten, um zeitnah auf die Ausführung von Schadcode reagieren zu können. Der Bug könnte hierbei zur Folge haben, dass neu in den RAM geladene Malware nicht lokalisiert werden kann. Misgav betonte gegenüber Bleepingcomputer allerdings, dass er nicht sagen könne, ob und inwieweit dies in der Praxis tatsächlich Einfluss auf die Erkennung habe.

Der Sicherheitsforscher konnte den Bug eigenen Angaben zufolge unter Windows XP mit SP3, x64-Windows 7 mit SP1 sowie mit der x86- und x64-Version von Windows 10 samt aktueller Updates reproduzieren. Er gehe allerdings davon aus, dass der Fehler schon seit der Einführung von Windows 2000 vorhanden ist. Misgav teilte gegenüber Bleepingcomputer mit, er habe das MSRC (Microsoft Security Response Center) bereits Anfang dieses Jahres über seinen Fund informiert. Die zuständigen Mitarbeiter hätten den Bug jedoch nicht als Sicherheitsproblem betrachtet. (ovw)