Neuer Angriff trickst Windows-Sicherheitssoftware aus

Bei einem Test der Sichereitsfirma Matousec fallen 35 weitverbreitete Security-Programme durch. Die Kernel-Hook-Bypassing-Engine (Khobe) funktioniert auf allen Windows-Systemen. Sie nutzt eine Schwachstelle im Windows-Kernel aus.

Sicherheitsexperten von Matousec haben auf eine Attacke mit dem Namen Khobe („Kernel Hook Bypassing Engine“) hingewiesen, mit der sich nach ihren Tests 35 weit verbreitete Sicherheitsprogramme austricksen lassen. Eine Liste der betroffenen Software steht online. Die Attacke betrifft alle Windows-Versionen (32 und 64 Bit), auch das aktuelle Windows 7 und benötigt keine Administratorrechte.

Die Tests wurden nach Angaben des Unternehmens unter Windows XP Service Pack 3 und Windows Vista Service Pack 1 auf 32-Bit-Hardware durchgeführt. Die Resultate würden aber für alle Windows-Versionen gelten. Betroffen waren Sicherheitsprodukte von Firmen wie BitDefender, F-Secure, Kaspersky, McAfee, Sophos und Trend Micro

Grundsätzlich sind laut Matousec alle Sicherheitstools anfällig, die unter Windows sogenannte „System Service Descriptor Tables“ (SSDT) nutzen, um Malware zu erkennen. Viren können dabei einen Windows-Bug ausnutzen, bei dem zwei Programme in einer Wettlaufsituation um den Zugriff auf eine gemeinsame Ressource kämpfen.

Vereinfacht gesprochen präsentiert ein Virus dem Sicherheitsprogramm harmlosen Code zur Untersuchung. Sobald die Security-Software grünes Licht für die Ausführung gibt, wird dieser harmlose Code gegen gefährlichen Virus-Code ausgetauscht.

Die SSDT-Schwachstelle ist seit längerer Zeit bekannt, wurde von Angreifern bislang aber noch nicht ausgenutzt. Sie verspricht keinen hundertprozentigen Erfolg. Besser funktioniert eine Attacke auf Multicore-Systeme, also auf Rechner, deren Prozessor mehrere Kerne hat. Diese Systeme verbreiten sich immer mehr, weswegen der Angriff populärer werden könnte.

Die Sicherheitslücke bedeutet allerdings nicht, dass alle Windows-Rechner der Attacke schutzlos ausgeliefert sind. Matousec weist darauf hin, dass der Angreifer zunächst eine Möglichkeit benötigt, ein Programm auf dem System des Opfers auszuführen. Dazu könnte er beispielsweise eine Browserlücke, eine Schwachstelle in Microsoft Office, dem Adobe Reader oder Flash ausnutzen.

An dieser Stelle wiegeln die Antiviren-Hersteller ab. Von Sophos heißt es: „Matousec beschreibt eine Methode, um etwas zusätzlich zu tun, wenn es eine Malware geschafft hat, am Antiviren-Programm vorbei zu kommen.“

Ein Sprecher von F-Secure erklärte: „Das Problem tritt nur bei neuer, unbekannter Malware auf, die wir nicht über eine Signatur erkennen können. Wir haben mehrere Schichten von Sensoren und Erkennungsmechanismen, um unsere Kunden gegen solche unbekannte Malware zu beschützen … Wenn wir so eine Attacke erkennen würden, würden wir eine Signatur entwickeln und sie stoppen, bevor sie überhaupt angefangen hat. Wir haben aber ‚in freier Wildbahn‘ noch keinen Angriff mit dieser Technik beobachtet.“

Themenseiten: Hacker, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neuer Angriff trickst Windows-Sicherheitssoftware aus

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *