Weiterer Bypass für Microsofts Kernel-Schutz PatchGuard veröffentlicht

Ein Sicherheitsforscher hat Beispielcode für einen Exploit veröffentlicht, mit dem sich die Windows-Sicherheitsfunktion Kernel Patch Protection (KPP) – auch PatchGuard genannt – umgehen lässt. ByePg ist bereits der zweite Bypass, der in weniger als sechs Monaten entdeckt und veröffentlicht wurde. Seit Juli steht ein Proof-of-Concept für „InfinityHook“ zur Verfügung.

Microsoft hatte PatchGuard 2005 für Windows XP eingeführt. Die Sicherheitsfunktion ist jedoch auf 64-Bit-Versionen von Windows beschränkt. Sie soll verhindern, dass Apps den Kernel patchen, sprich die wohl wichtigste Komponente des Betriebssystems unerlaubt verändern.

Vor der Einführung von PatchGuard nutzen vor allem Antivirenprogramme, aber auch anrüchige Treiber oder Cheats für Spiele die Möglichkeit, den Kernel an ihre Bedürfnisse anzupassen. Im Bereich der Cyberkriminalität waren indes Entwickler von Rootkits große Freunde dieser klaffenden Hintertür, um ein System vollständig unter ihre Kontrolle zu bringen. Allerdings war PatchGuard nicht von Anfang an erfolgreich. Erst zusätzliche Sicherheitsfunktionen von Windows 10 brachten das Aus für Rootkits.

Sicherheitsforscher hörten jedoch nie auf, sich mit PatchGuard zu beschäftigen. 2017 fand CyberArk eine GhostHook genannte Schwachstelle, die eine Funktion in Intel-Prozessoren ausnutzte, um den Kernel zu verändern. Der Bypass Infinity Hook wiederum missbrauchte die Programmierschnittstelle NtTraceEvent.

ByePg wurde bereits im vergangenen Monat vom türkischen Forscher Can Bölük entdeckt. Er fand eine Möglichkeit, den HalPrivateDispatchTable einzusetzen, damit eine gefährliche App in den Kernel eingreifen kann.

Vom Schweregrad her sollte ByePg seine Vorgänger übertrumpfen, denn die Schwachstelle erlaubt es auch, die Sicherheitsfunktion Hypervisor-Protected Code Integrity (HVCI) zu umgehen. Mit dieser Funktion setzt Microsoft gefährliche Treiber auf eine schwarze Liste.

Alle drei Exploits haben jedoch etwas gemeinsam: Microsoft weigerte sich bisher, Fixes für die Anfälligkeiten zu entwickeln. Nach Angaben des Unternehmens benötigt ein Angreifer Administratorrechte, um auch tatsächlich Schadcode ausführen zu können. Wer jedoch Administratorrechte auf einem System besitzt, kontrolliert es bereits vollständig.

Auch wenn diese Argumentation richtig erscheint, klafft darin doch eine große Lücke: PatchGuard soll nämlich auch verhindern, dass legitime Anwendungen, die mit hohen Systemrechten agieren, den Kernel verändern. Die Forscher unterstellen sogar, dass dies der eigentliche Zweck von PatchGuard sei, der nun nicht mehr gewährleistet sei. Zudem seien Bugs, die eine nicht autorisierte Ausweitung von Nutzerrechten ermöglichten, heute keine Seltenheit. In Kombination mit ByePG oder InfinityHook sei es nun also wieder möglich, Rootkits für Windows zu entwickeln und so Malware dauerhaft unter Windows einzurichten.

Tatsächlich wurden die Schwachstellen, die GhostHook und InfinityHook ermöglichten, inzwischen beseitigt. Microsoft betonte, dass es die jeweiligen Bugs nicht als sicherheitsrelevant eingestuft und somit nicht unverzüglich beseitigt habe.

Im Gespräch mit ZDNet USA erklärte Bölük, Microsoft spiele das von diesen Exploits ausgehende Risiko herunter und verzögere die Patches, was eine Tür für mögliche Angriffe öffne. Ein weiterer Nebeneffekt von Microsofts Einstufung der Bugs als nicht sicherheitsrelevant: Sie fallen nicht unter Microsofts Bug-Bounty-Programm. Die Entdecker wurden also nicht für ihre Arbeit entlohnt.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Nach Klage von Amazon: US-Bundesgericht stoppt Auftragsvergabe an Microsoft

Es entspricht einem Antrag von Amazon Web Services. Die Begründung seiner Entscheidung hält das Gericht derzeit unter Verschluss. Microsoft und…

2 Tagen ago

Niederlage für Apple: US-Gericht wertet Durchsuchung von Mitarbeitern als Arbeitszeit

Zwei Mitarbeiter klagen wegen der unbezahlten Durchsuchung ihrer Taschen. Die vorgeschriebene Kontrolle kostet sie täglich bis zu 30 Minuten. In…

2 Tagen ago

Schwachstellen in Bluetooth LE betreffen Hunderte Produkte wie Smart Home und Smartwachtes

Anfällig sind SoCs von Herstellern wie Texas Instruments, Dialog, NXP, STMicroelectronics. Sie finden sich in Produkten von FitBit, August und…

2 Tagen ago

FireEye warnt vor staatlich geförderten Cyber-Attacken auf Ziele in Deutschland

Wichtige Herkunftsländer sind Russland, China und Iran. Inzwischen stuft FireEye Cyber-Spionage als regelmäßige Bedrohung für den öffentlichen und privaten Sektor…

2 Tagen ago

Bildergalerie: Xiaomi Mi 10 Pro

Mit der Mi-10-Serie liefert Xiaomi zwei Smartphones, die den neuen Mobilfunkstandard 5G unterstützen und mit einer 108-Megapixelkamera ausgestattet sind.

2 Tagen ago

Windows 10: Preview bringt neue Grafik- und Kalenderfunktionen

Nutzer können nun Apps einer bestimmten Grafikkarte zuordnen. Der neue Kalender bietet eine überarbeite Monatsansicht und vereinfacht das Erstellen neuer…

2 Tagen ago