Neuer Kernel-Hack laut Microsoft problematisch

Der Sicherheitsdienstleister Authentium hat nach eigenen Angaben einen Weg gefunden, den in den 64-Bit-Versionen von Windows Vista integrierten Kernelschutz PatchGuard zu umgehen, ohne dass der normalerweise auftretende Systemhalt ausgelöst wird.

Konkret nutzt Authentium ein Element des Kernelschutzes, das für die Unterstützung älterer Hardware-Komponenten gedacht ist. Unter Verwendung der Methode kann das Unternehmen auf den Systemkern zugreifen und die eigenen Produkte diese Möglichkeit nutzen lassen, ohne dass das Betriebssystem die Quelle des Eingriffs nachvollziehen kann.

Normalerweise wird bei einem unauthorisierten Zugriff auf den Kernel von Windows Vista ein Bluescreen ausgelöst. Alle laufenden Programme und Prozesse werden gestoppt, um die Ausführung von Schad-Software zu verhindern. Nach Angaben von Authentium hat man diesen Weg gewählt, um die eigenen Kunden rechtzeitig zur Markteinführung von Vista vor Angriffen aus dem Internet schützen zu können.

Da Microsoft zwar zugesagt hat, Programmierschnittstellen (APIs) zu schaffen, welche die Sicherheit von Windows Vista auch ohne einen direkten Zugriff auf den Kernel zu gewährleisten, doch dies wird noch einige Zeit in Anspruch nehmen. Authentium will an deren Entwicklung mitwirken, will jedoch durch das Umgehen von PatchGuard bereits früher für mögliche Sicherheitsprobleme gerüstet sein.

Microsoft hat nach eigenener Aussage bereits von der Umgehung erfahren. Man habe die Kernel-Hacks bei aktuellen Vorabversionen des neuen Betriebssystems berücksichtigt, hieß es. In Zukunft soll bei jeder Umgehung von PatchGuard ein entsprechendes Update im Rahmen der täglichen Arbeit von Microsofts Security Response Centers herausgegeben werden, das mögliche Lücken schließt.

Die Redmonder kritisieren die Entscheidung des Sicherheitsdienstleisters als falschen Weg. Authentium wirft man vor, durch die Entwicklung von Produkten, die den Kernelschutz umgehen, die Sicherheitslage zu verschlechtern. Anwender, bei denen die jeweiligen Produkte zum Einsatz kommen, sind nach der Veröffentlichung eines Updates, das die genutzte Umgehungsmethode unmöglich macht, unter Umständen nicht mehr optimal geschützt.

Statt den Kernelschutz auf eigene Faust zu umgehen, fordert Microsoft von den Sicherheitsdienstleistern die Teilnahme an der Entwicklung der APIs, um die Sicherheit der gemeinsamen Kunden zu gewährleisten. Derzeit tobt zwischen Microsoft und seinen Partnern eine Debatte darüber, ob der Kernelschutz in Windows Vista nicht möglicherweise integriert wurde, um die Drittanbieter von Sicherheitslösungen bei ihrer Arbeit zu behindern.

Unterdessen werden auf einschlägigen Seiten im Internet bereits weitere Methoden diskutiert, die zur Umgehung des Kernelschutzes genutzt werden könnten. Microsoft will gegebenenfalls die nötigen Maßnahmen ergreifen, um Dritten auch in Zukunft weiterhin den Zugriff auf den Kernel von Windows Vista zu verwehren, so das Unternehmen.

Quelle