Thema: Virenexperten: Vistas Kernelschutz PatchGuard bald geknackt

[SiLæncer]

Kurz nachdem Microsoft die finale Version von Windows Vista veröffentlicht hat, dürften Angreifer es schaffen, die Kernelschutzfunktion PatchGuard auszuhebeln, um Systeme mit Rootkits und anderen Schädlingen zu infizieren. Diese Erwartung äußerte zumindest Aleksander Czarnowski von AVET auf der diesjährigen Virus Bulletin Conference in Montreal in seinem Vortrag. Allerdings sei nicht davon auszugehen, dass die Angreifer damit öffentlich hausieren gehen. Vielmehr würden sie ihr Wissen unter Verschluss halten und heimlich nutzen.

PatchGuard soll den Kernel von Vista vor Manipulation von Schadcode schützen. Bei Windows XP ist es etwa für Rootkits relativ einfach, den Kernel zu manipulieren, um Schädlinge vor den Zugriffen von Antivirenprogrammen zu verstecken. Allerdings wird es PatchGuard nur für die 64-Bit-Version von Vista geben und später für die 64-Bit-Version von XP. Ob sich diese Versionen so schnell durchsetzen, ist fraglich, da kaum eine Software großen Nutzen daraus ziehen kann und zudem noch nicht alle Treiber für 64 Bit verfügbar sind.

Microsoft sieht PatchGuard ohnehin nur als eine höhere Hürde, die Angriffe erschwere, sie aber nicht unmöglich mache. "Auf 32-Bit-Systemen ist es leicht, auf den Kernel zuzugreifen. Dies versuchen wir unter Vista zu verhindern", schreibt Stephen Toulouse von Microsoft. Sollten Tricks bekannt werden, wie man PatchGuard umgeht, könne man dies mit einem Software-Update immer noch beheben.

Obwohl sich viele Sicherheitspezialisten des Themas angenommen haben, ist es aber noch keinem gelungen, PatchGuard in einer Beta-Version oder einem Release Candidate auszuhebeln. Einzig Joanna Rutkowska demonstrierte bislang, wie man Vistas Kernelschutz austricks. Dabei ging sie aber den Weg über signierte Kerneltreiber und nicht über PatchGuard.

Darüber hinaus tat sich Symantec mit der Analyse der Beta-Version hervor, musste aber eingestehen, dass die meisten der entdeckten Probleme in späteren Builds bereits behoben waren. McAfee beschwerte sich in einer ganzseitigen Anzeige in der Financial Times zudem, Microsoft würde mit dem PatchGuard die Integration der Produkte von Drittherstellern einschränken.

Quelle : www.heise.de

[SiLæncer]

Die bislang bereits heftig geführte Debatte um die Sicherheit des Vista-Kernels geht weiter – und wird nun durch neue Kommentare der Rootkit-Spezialistin Joanna Rutkowska bereichert, die auf der vergangenen Black-Hat-Konferenz die mittlerweile als Pagefile-Attacke bekannt gewordene Schwachstelle vorführte. Microsoft hatte daraufhin im Release Candidate 2 von Vista kurzerhand einen Fix eingebaut, der die Lücke schließen soll, allerdings mit mäßigem Erfolg.

Bei der Pagefile-Attacke gelang es Rutkowska, eigene unsignierte Treiber in den Vista-Kernel zu laden, obwohl die x64-Version ausschließlich signierte Kernel-Treiber akzeptieren soll. Für ihren Angriff forderte Rutkowska so viel Arbeitsspeicher an, dass Vista bereits geladene Kerneltreiber in den virtuellen Speicher auf der Festplatte auslagern musste. Die dort ungeschützt liegenden Speicherteile konnte sie dann manipulieren, um eigene Treiber einzuschleusen.

Als Gegenmittel empfahl Rutkowska Microsoft, Usermode-Anwendungen generell den direkten Zugriff auf die Festplatte zu verbieten oder das Pagefile zu verschlüsseln. Eine dritte Möglichkeit wäre, das Auslagern von Kernel-Code ganz zu vermeiden. Die erste Lösung schätzte die Rootkit-Forscherin allerdings als die schlechteste ein, da damit Disk-Editoren und Disk-Recovery-Tools nicht mehr ohne weiteres funktionieren würden.

Die Empfehlungen scheint Microsoft ignoriert zu haben, wie Rutkowska in ihrem Blog schreibt. Denn mit dem Patch blockieren die Redmonder nun den Raw-Access, selbst wenn er mit Administratorrechten ausgeführt wird. Um trotzdem im Usermode Zugriff auf die Platte zu erhalten, müssten die Hersteller von Festplatten-Tools ihre Treiber von Microsoft zertifizieren und signieren lassen.

Allerdings hindert dies einen Angreifer nicht daran, solche signierte Treiber für seine Zwecke zu benutzen und etwa in einen Schädling einzubauen. Sofern der Treiber fehlerfrei sei, könne Microsoft das Zertifikat solch eines Treibers auch nicht zurückziehen – selbst wenn bekannt würde, dass er für Angriffe missbraucht würde. Das Problem sei also nicht wirklich gelöst.

Unterdessen stellt der Hersteller Authentium die Zuverlässigkeit des gesamten Kernelschutzes in Frage. Laut Helmuth Feericks, Cheftechniker des Unternehmens sei es gelungen, die PatchGuard-Schutz auszuschalten, eigene Programme zu installieren und PatchGuard anschließend wieder anzuschalten. Wenn ihnen dies gelungen sei, würden das auch motivierte Hacker schaffen, erklärte Feericks gegenüber de Washington Post.

Siehe dazu auch:

    * Vista RC2 vs. pagefile attack, Blogeintrag von Joanna Rutkowska

Quelle und Links : http://www.heise.de/security/news/meldung/79998

[SiLæncer]

Die 64-Bit-Version des Rootkits/Bots Alureon ist in der Lage, die besonderen Sicherheitsmaßnahmen der 64-Bit-Versionen von Windows 7 und Vista auszuhebeln und sich im System einzunisten. Die benutzten Tricks sind zwar seit mehreren Jahren theoretisch bekannt, bis vor Kurzem hat sie aber noch kein Schädling in der Praxis eingesetzt. Die 32-Bit-Version des Rootkits Alureon machte bereits Anfang des Jahres von sich Reden, als zahlreiche 32-Bit-Windows-Systeme nach einem Patch von Microsoft nicht mehr booten wollte. Ursache war das bereits auf den Rechnern unbemerkt installierte Rootkit, das mit dem Patch enttarnt wurde.

Alureon, auch TDL genannt, deaktiviert in der 64-Bit-Version die Prüfung der Treibersignaturen und verbiegt bestimme API-Calls bereits beim Systemstart, um den Kernel-PatchGuard zu umgehen. Die Treibersignierung soll eigentlich sicherstellen, dass Windows nur Treiber bekannter Hersteller lädt. Daneben soll der PatchGuard den Betriebssystem-Kernel vor Manipulation durch Schadcode schützen.

Um Windows manipulieren zu können, schreibt sich Alureon in den Master Boot Record (MBR) der Platte – wozu er allerdings einmalig Administratorrechte benötigt. Da sich die Malware beispielsweise über Porno- und Crack-Seiten verbreiten soll, dürfte das Einholen dieser Rechte beim Anwender (per UAC) nur eine geringe Hürde darstellen.

Beim Schreiben in den MBR nutzt das Rootkit nicht die normale Windows-API – die ja ein Schutzprogramm überwachen könnte – sondern den IO-Befehl IOCTL_SCSI_PASS_THROUGH_DIRECT zum direkten Zugriff auf die Platte. Beim anschließenden Booten macht sich Alureon eine Option zunutze, mit der man bei Windows zu Testzwecken die Prüfung der Treibersignaturen abschalten kann; manuell lässt sich das im laufenden System mit bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS erreichen.

Alureon überschreibt die originalen Bootoptionen aber erst beim Start im Speicher, verbiegt dann die Startup-Routinen von Windows und lädt den eigentlichen Rootkit-Treiber. Damit kann es weitere Manipulationen vornehmen und beispielsweise Hooks in der Service Descriptor Table (SDT) verankern.

Mittlerweile kursiert Alureon nach Analysen von Antivirenherstellern bereits in der vierten Generation und enthält Maßnahmen, um seine Analyse mit Debuggern zu erschweren. Laut Microsoft ist Alureon in Deutschland das am häufigsten beobachtete Rootkit in Deutschland. In Microsoft Security Essentials sind seit August Signaturen enthalten, um Alureon aufzuspüren.

Alternativ soll sich das Rootkit auch manuell aufspüren lassen: Fehlen bei der Anzeige der Laufwerke mit dem DOS-Tool diskpart einige oder alle, so kann das ein Hinweis auf eine Infektion sein.

Quelle : www.heise.de