Rootkit-Forscherin: Antirootkit-Bugfix in Vista RC2 nutzlos

Die bislang bereits heftig geführte Debatte um die Sicherheit des Vista-Kernels geht weiter – und wird nun durch neue Kommentare der Rootkit-Spezialistin Joanna Rutkowska bereichert, die auf der vergangenen Black-Hat-Konferenz die mittlerweile als Pagefile-Attacke bekannt gewordene Schwachstelle vorführte. Microsoft hatte daraufhin im Release Candidate 2 von Vista kurzerhand einen Fix eingebaut, der die Lücke schließen soll, allerdings mit mäßigem Erfolg.

Bei der Pagefile-Attacke gelang es Rutkowska, eigene unsignierte Treiber in den Vista-Kernel zu laden, obwohl die x64-Version ausschließlich signierte Kernel-Treiber akzeptieren soll. Für ihren Angriff forderte Rutkowska so viel Arbeitsspeicher an, dass Vista bereits geladene Kerneltreiber in den virtuellen Speicher auf der Festplatte auslagern musste. Die dort ungeschützt liegenden Speicherteile konnte sie dann manipulieren, um eigene Treiber einzuschleusen.

Als Gegenmittel empfahl Rutkowska Microsoft, Usermode-Anwendungen generell den direkten Zugriff auf die Festplatte zu verbieten oder das Pagefile zu verschlüsseln. Eine dritte Möglichkeit wäre, das Auslagern von Kernel-Code ganz zu vermeiden. Die erste Lösung schätzte die Rootkit-Forscherin allerdings als die schlechteste ein, da damit Disk-Editoren und Disk-Recovery-Tools nicht mehr ohne weiteres funktionieren würden.

Die Empfehlungen scheint Microsoft ignoriert zu haben, wie Rutkowska in ihrem Blog schreibt. Denn mit dem Patch blockieren die Redmonder nun den Raw-Access, selbst wenn er mit Administratorrechten ausgeführt wird. Um trotzdem im Usermode Zugriff auf die Platte zu erhalten, müssten die Hersteller von Festplatten-Tools ihre Treiber von Microsoft zertifizieren und signieren lassen.

Allerdings hindert dies einen Angreifer nicht daran, solche signierte Treiber für seine Zwecke zu benutzen und etwa in einen Schädling einzubauen. Sofern der Treiber fehlerfrei sei, könne Microsoft das Zertifikat solch eines Treibers auch nicht zurückziehen – selbst wenn bekannt würde, dass er für Angriffe missbraucht würde. Das Problem sei also nicht wirklich gelöst.

Unterdessen stellt der Hersteller Authentium die Zuverlässigkeit des gesamten Kernelschutzes in Frage. Laut Helmuth Feericks, Cheftechniker des Unternehmens sei es gelungen, die PatchGuard-Schutz auszuschalten, eigene Programme zu installieren und PatchGuard anschließend wieder anzuschalten. Wenn ihnen dies gelungen sei, würden das auch motivierte Hacker schaffen, erklärte Feericks gegenüber de Washington Post.

Siehe dazu auch: (dab)

• Vista RC2 vs. pagefile attack, Blogeintrag von Joanna Rutkowska