94578

Experte: DRM-Funktion in Vista perfektes Versteck für Malware

13.10.2006 | 12:18 Uhr |

Der Sicherheitsexperte Aleksander Czarnowski von AVET Information and Network Security hat Bedenken gegenüber einer in Windows Vista integrierten DRM-Funktion geäußert. Diese könne es Malware-Autoren theoretisch ermöglichen, bösartigen Code vor dem Zugriff von Antiviren-Software zu schützen.

Windows Vista wird mit den so genannten "geschützten Prozessen" eine neue DRM-Funktion enthalten, die dafür gedacht ist, geschützte Inhalte wie beispielsweise Musikdateien in einer Umgebung wiederzugeben, auf die der Anwender keinen Einfluss hat. Rechteinhaber können so festlegen, was der Nutzer mit den jeweiligen Inhalten überhaupt anstellen können soll und was nicht. Genau diese "geschützten Prozesse" könnten sich jedoch als wahres Eldorado für Malware-Autoren entpuppen, da sich in ihnen bösartiger Code perfekt vor dem Zugriff durch Antiviren-Lösungen schützen lässt. Darauf weist der Sicherheitsexperte Aleksander Czarnowski von AVET Information and Network Security hin.

Vereinfacht gesagt handelt es sich bei den "geschützten Prozessen" um eine Art Konstrukt, das parallel zu anderen Prozessen oder simultan ausgeführten Programminstanzen läuft. Standard-Prozesse können von übergeordneten Prozessen beziehungsweise von speziell angelegten Prozessen, die Anwender erstellen können, manipuliert werden, was das Risiko der Piraterie erhöht. Die neuen "geschützten Prozesse" in Vista müssen hingegen signiert sein. Sie unterbinden zudem die Interaktion mit Standard-Prozessen. Es ist also beispielsweise nicht möglich, dass ein Standard-Prozess einen Thread in einen "geschützten Prozess" injiziert oder Zugriff auf den virtuellen Speicher zu erhalten, der von dem "geschützten Prozess" genutzt wird, so Microsoft.

Eine derartige Konstruktion erlaubt die Kontrolle über die Distribution und den Zugang zu geschützten Media-Inhalten wie Filmen oder Musik. Rechteinhaber können dann die Nutzungsbedingungen festlegen. Derartige Prozesse können aber auch nicht von Antivirenlösungen unter die Lupe genommen werden, warnt nun Czarnowski. "Geschützt Prozesse sind von anderen Applikationen isoliert, selbst bei Administrator-Rechten", so der Experte.

Laut Czarnowski könnte eine Ausnutzung dieses Systems durch Malware-Autoren dazu führen, dass bösartiger Code die Kontrolle über "geschützte Prozesse" übernimmt, diese für die Modifizierung von Speicheradressen ausnutzt und weitere Änderungen am System vornimmt, ohne dass dies von Antiviren-Losungen und anderen Sicherheitstechniken entdeckt werden könnte.

"Ich denke nicht, dass sich irgendjemand bei diesem DRM-Rennen Gedanken über die Konsequenzen gemacht hat, wenn diese Möglichkeit in die falschen Hände gerät", so Czarnowski. "Geschützte Prozesse sind eine Waffe und - wie mit jeder Waffe - hängt alles davon ab, wie sie genutzt wird."

Des Weiteren ist sich der Experte sicher, dass Patchguard, Vistas Schutztechnologie für den Kernel, eines der großen Angriffsziele für Malware-Autoren werden wird. Er geht davon aus, dass es innerhalb eines Jahres nach Veröffentlichung von Vista - eventuell auch schon früher - Techniken geben werde, die den Kernel-Schutz aushebeln werden.

PC-WELT Dossier: Windows Vista - Alle News, Infos, Details und mehr

0 Kommentare zu diesem Artikel
94578