Kernel-Lücke in Windows 10 erlaubt Installation von Rootkits

Der als GhostHook bezeichnete Angriff umgeht die Sicherheitsfunktion PatchGuard. Sie soll eigentlich Manipulationen des Kernels verhindern. Laut Microsoft benötigt ein Angreifer Kernel-Rechte, um den Angriff überhaupt ausführen zu können.

Sicherheitsforscher von CyberArk Labs haben eine möglicherweise schwerwiegende Sicherheitslücke in Windows 10 entdeckt. Sie soll Angriffe auf das Betriebssystem ermöglichen, die die Sicherheitsfunktion PatchGuard umgehen. Die auch als Kernel Patch Protection bezeichnete Technik soll verhindern, dass der Kernel von Windows 10 verändert wird, um beispielsweise ein Rootkit zu installieren.

Bug entdeckt (Bild: Shutterstock)Der von den Forschern als GhostHook bezeichnete Angriff erlaubt es, Windows 10 auf Kernel-Ebene zu manipulieren. Damit wären Angreifer in der Lage, alle Sicherheitsvorkehrungen auszuhebeln, die auf Informationen des Kernels angewiesen sind. Dazu zählen Antivirenprogramme, Firewalls, Host Intrusion Prevention Systems und andere Endpoint-Sicherheitsprodukte. Da PatchGuard nur für 64-Bit-Systeme verfügbar ist, könnte GhostHook auch zu einer Zunahme von 64-Bit-Malware führen.

„Bis jetzt haben wir vor allem aufgrund von PatchGuard nicht viele erfolgreiche Rootkits für Windows 10 64-Bit gesehen“, teilte CyberArk Labs mit. „Diese Angriffstechnik gibt Cyberangreifern die vollständige Kontrolle über eine Windows-10-Maschine, inklusive der Möglichkeit, alles auf dem System abzufangen.“

Details zu der Schwachstelle hält der Sicherheitsanbieter jedoch zurück, da bisher kein Patch von Microsoft vorliegt. „Die Technik macht es erforderlich, dass ein Angreifer das Zielsystem bereits vollständig kompromittiert hat“, zitiert The Register einen Microsoft-Sprecher. Das Unternehmen plane derzeit keinen Patch für die Anfälligkeit. Es werde den Fehler aber möglicherweise mit einer künftigen Windows-Version beheben.

Malware, die den Kernel von Windows ins Visier nimmt, ist nicht neu. 2009 sorgte das Mebroot Rootkit für Schlagzeilen, weil es auf infizierten Windows PCs Tastatureingaben aufzeichnete und HTTP- und HTTPS-Anfragen ausspionierte, um anschließend HTML-Code bevorzugt in Banking-Websites einzuschleusen.

Windows 10 ist laut Microsoft das bisher sicherste Betriebssystem des Unternehmens. Im Fall der Ransomware WannaCry konnte Windows 10 diesem Anspruch sogar gerecht werden. Sicherheitslücken sind unter Umständen jedoch in der Lage, Sicherheitsvorkehrungen wirkungslos zu machen.

[mit Material von Tom Jowitt, Silicon.co.uk]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Wettbewerbsvorteile durch effizienten Kundenservice

Telefonieren Sie noch oder skypen Sie schon, lautete einmal ein einprägsamer Werbespruch, der einfach zum Ausdruck brachte, dass eine ältere Technologie von etwas Besserem ersetzt wird. Das Gleiche gilt für die Kommunikation mit Kunden. Nutzen Sie schon Communication Enabled Business Processes (CEBP) oder warten Sie, bis der Wettbewerb Sie überholt

Themenseiten: Microsoft, Security, Sicherheit, Windows 10

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Kernel-Lücke in Windows 10 erlaubt Installation von Rootkits

Kommentar hinzufügen
  • Am 23. Juni 2017 um 10:23 von Frank Furter

    Na ja, ich werde es bestimmt noch erleben, dass Microsoft mich davon zu überzeugen versucht, dass Win 10 ein absolut unsichers und potentiell gefährliches Betriebssystem sei, das ich umgehend durch WinXYZ – das sicherste Betriebssystem aller Zeiten – zu ersetzen habe…

    P.S.
    Dekompilieren kann ich nicht, aber ich vermute, dass im Kernel von Win10 immer noch Spuren des guten alten MS-DOS stecken – getreu nach dem Motto: „Warum das Rad neu erfinden?“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *