Intel: Geringes Risiko durch Fehler in Windows-Treibern
Forscher von Intel haben ihre Ergebnisse zur Untersuchung der Ausnutzbarkeit von Sicherheitslücken in Kernel-Mode-Treibern vorgestellt und das daraus resultierende Risiko als gering eingestuft.
Intel-Forscher haben auf der derzeit stattfindenden Sicherheitskonferenz NetSec '06 Ergebnisse ihrer Untersuchungen über die Ausnutzbarkeit von Schwachstellen in Kernel-Mode-Treibern vorgestellt. Die Forscher des Prozessorriesen kamen zu dem Schluss, dass die Gefahr als gering einzustufen sei, berichten US-amerikanische Medien. Da Kernel-Mode-Treiber im Ring 0 des Prozessors laufen, also mit den höchsten Privilegien im System, könnten Angreifer bei einer erfolgreichen Attacke auf den Treiber das System vollständig unter ihre Kontrolle bringen.
Bei der Recherche seien ihnen zwar einige ältere Fehlerberichte zu Treibern untergekommen, berichteten die Forscher. An die betroffenen Treiber heranzukommen war ihnen jedoch nicht möglich. Schließlich fanden sie eine Schwachstelle im Windows-Internetprotokollstack tcpip.sys, die von Microsoft im April 2005 geschlossen wurde und für den Schadcode im Netz verfügbar ist. Mit dem Schadcode konnten Intels Mannen feststellen, dass ein Denial-of-Service wahrscheinlicher sei als das Einschleusen von Code; bei den meisten Versuchen sei der Rechner eher "verlässlich" abgestürzt, als dass der Schadcode ausgeführt wurde.
Schwachstellen in Ring-0-Treibern auszunutzen sei extrem schwierig, meldete sich ein McAfee-Sprecher zu Wort, daher sei Schadcode dafür kaum zu finden. Ein Vertreter von Trend Micro meinte dazu, dass Gerätetreiber-Programmierung einfach nicht auf der Linie von Script-Kiddies liege, ganz im Gegensatz zu öffentlich verfügbarem Wurm-Code.
David Schulhoff, seines Zeichens ein Senior Information Security-Spezialist bei Intel, relativierte das Ergebnis jedoch: "Obgleich es Intels Forschern nicht gelang, einen Computer mittels Schadcode auf Kernelebene zu übernehmen, bedeutet das nicht, dass die Leute nicht wachsam sein müssten." Er habe auf seinem Rechner 336 sys-Treiberdateien im Systemverzeichnis gefunden, von denen 218 von Microsoft sowie 24 von anderen für ihn vertrauenswürdigen Unternehmen stammten; 94 fand Schulhoff fragwürdig. Es sind jedoch nicht alle sys-Dateien Kernel-Mode-Treiber, sondern es gibt auch User-Mode-Treiber für Drucker, USB-Geräte und weitere Hardware – Fehler in diesen sind weniger gefährlich für die Systemsicherheit.
Angreifer würden sich jedoch auch weiterhin eher an den tiefer hängenden Früchten gütlich tun, es gebe noch reichlich einfacher ausnutzbare Schwachstellen. Dennoch gibt Microsoft Treiberprogrammierern Hilfswerkzeuge an die Hand, mit denen sie ihren Code auf Schwachstellen untersuchen können: PREfast for Drivers sowie Static Driver Verifier sind in der Lage, Fehler zu finden, die Compiler nicht erkennen. (dmk)
