Lücken im Kernel: So brechen Hacker in jeden Rechner ein

Wer einen lokalen oder equivalenten Zugang, beispielsweise per SSH-Shell oder Remote Desktop (Terminal Server), zu einem Rechner mit einem gängigen Betriebssystem hat, kann nahezu immer eine derzeit ungepatchte Lücke finden, um in den Kernel einzudringen. Weder Windows noch Linux bieten derzeit einen ausreichenden Schutz.

Viele Benutzer verfügen nicht über ausreichendes Wissen, um selbst nach Pufferüberläufen und ausnutzbaren Null-Pointer-Derefenzierungen zu suchen oder per Fuzzing Systemcalls auszuprobieren. Mit einer einfachen Google-Suche lassen sich jedoch immer wieder neue fertige Proof-of-Concept-Exploits finden, die man ohne großes Fachwissen ausführen kann. Teilweise sind nur wenige Mausklicks erforderlich.

Wer einmal im Kernel gelandet ist, kann dort Malware jeder Art als Rootkit verstecken oder sich einfach nur Superuser-Rechte verschaffen. Wenn ein verteiltes Rechteverwaltungssystem wie Active Directory vorhanden ist, lassen sich meist Passwort-Hashes von firmenweiten Administratoren abgreifen, die von jedem Rechner im Netzwerk benutzt werden können.

Kernel-Lücken, die man von außen mit bloßem Netzwerkzugang, etwa über das Internet, ausnutzen kann, sind wesentlich seltener. Davon ist vor allem Windows betroffen. Ein häufiger Grund ist Third-Party-Kernelmode-Software, insbesondere auch Antiviren- und Firewallprogramme. Aber auch die Komponenten von Microsoft, etwa das GDI, der TCP/IP-Stack und das SMB-Protokoll sind häufig betroffen.

Windows-Server sind besonders aus dem Intranet angreifbar. Ein illoyaler Mitarbeiter kann sich mit einem verfügbaren Exploit Zugang verschaffen, wenn bisher kein Fix zur Verfügung steht oder Administratoren nicht rechtzeitig patchen. Das Beispiel Conficker hat gezeigt, dass sich viele Admins mit dem Updaten ihrer Server zu viel Zeit lassen.

Wer einen Windows-Server ins Internet stellt, muss besondere Vorsichtsmaßnahmen treffen. Um die Angriffsfläche so klein wie möglich zu halten, sollte man Microsofts Sicherheitsfestung Forefront einsetzen. Die Produktlinie beinhaltet zum Teil spezifischen Schutz für bestimmte Produkte, etwa Microsoft Exchange. Wer beispielsweise Webmail via Outlook Web App (früher Outlook Web Access) oder ActiveSync für seine mobilen Clients VPN-frei zur Verfügung stellen will, sollte auf Forefront Protection for Exchange Server nicht verzichten. Das Produkt filtert Netzwerkpakete bis in den OSI-Layer 7. Eine Layer-3-Firewall bietet nicht genug Schutz.

Versierten Hackern wie Ormandy und Tinnes wird es trotz allen Vorsichtsmaßnahmen immer wieder gelingen, Einbruchsmöglichkeiten aufzuzeigen. Auf der Black Hat gaben sie sich zumindest zuversichtlich, auch in Zukunft erfolgreich bei der Suche nach Netzwerk-Kernel-Lücken zu sein.