zurück zum Artikel

Angreifer dürften die Kernelschutzfunktion PatchGuard bald aushebeln, um Systeme mit Rootkits und anderen Schädlingen zu infizieren. Microsoft will etwaige Schwachstellen nachträglich mit Updates schließen.

Kurz nachdem Microsoft die finale Version von Windows Vista veröffentlicht hat, dürften Angreifer es schaffen, die Kernelschutzfunktion PatchGuard [1] auszuhebeln, um Systeme mit Rootkits und anderen Schädlingen zu infizieren. Diese Erwartung äußerte zumindest Aleksander Czarnowski von AVET auf der diesjährigen Virus Bulletin Conference [2] in Montreal in seinem Vortrag. Allerdings sei nicht davon auszugehen, dass die Angreifer damit öffentlich hausieren gehen. Vielmehr würden sie ihr Wissen unter Verschluss halten und heimlich nutzen.

PatchGuard soll den Kernel von Vista vor Manipulation von Schadcode schützen. Bei Windows XP ist es etwa für Rootkits relativ einfach, den Kernel zu manipulieren, um Schädlinge vor den Zugriffen von Antivirenprogrammen zu verstecken. Allerdings wird es PatchGuard nur für die 64-Bit-Version von Vista geben und später für die 64-Bit-Version von XP. Ob sich diese Versionen so schnell durchsetzen, ist fraglich, da kaum eine Software großen Nutzen daraus ziehen kann und zudem noch nicht alle Treiber für 64 Bit verfügbar sind.

Microsoft sieht PatchGuard ohnehin nur als eine höhere Hürde, die Angriffe erschwere, sie aber nicht unmöglich mache. "Auf 32-Bit-Systemen ist es leicht, auf den Kernel zuzugreifen. Dies versuchen wir unter Vista zu verhindern", schreibt [3] Stephen Toulouse von Microsoft. Sollten Tricks bekannt werden, wie man PatchGuard umgeht, könne man dies mit einem Software-Update immer noch beheben.

Obwohl sich viele Sicherheitspezialisten des Themas angenommen haben, ist es aber noch keinem gelungen, PatchGuard in einer Beta-Version oder einem Release Candidate auszuhebeln. Einzig Joanna Rutkowska demonstrierte [4] bislang, wie man Vistas Kernelschutz austricks. Dabei ging sie aber den Weg über signierte Kerneltreiber und nicht über PatchGuard.

Darüber hinaus tat sich Symantec mit der Analyse der Beta-Version hervor, musste aber eingestehen, dass die meisten der entdeckten Probleme in späteren Builds bereits behoben waren. McAfee beschwerte sich [5] in einer ganzseitigen Anzeige in der Financial Times zudem, Microsoft würde mit dem PatchGuard die Integration der Produkte von Drittherstellern einschränken. (dab [6])

URL dieses Artikels:
https://www.heise.de/-171217

Links in diesem Artikel:
[1] http://www.microsoft.com/downloads/details.aspx?FamilyID=802e48a3-c79a-4530-b41b-808c43f806e6&displaylang=en
[2] http://www.virusbtn.com/conference/vb2006/programme/index
[3] http://www.stepto.com/default/log/displaylog1.aspx?ID=258
[4] https://www.heise.de/news/Rootkit-infiltriert-Beta-Version-von-Windows-Vista-149273.html
[5] https://www.heise.de/news/McAfee-schaltet-Anti-Werbung-gegen-Vista-167822.html
[6] mailto:dab@ct.de

Copyright © 2006 Heise Medien