Besserer Schutz vor Rootkits für 64-Bit-Windows

Rootkits haben es unter einem 64-Bit-Windows ohnehin schon schwer. Übliche Rootkits (Malware-Tarnkappen) funktionieren gar nicht, Malware-Programmierer müssen spezielle Rootkits schreiben, deren Boot-Prozess die obligatorische Signierung von zu ladenden Treiberdateien umgehen. Das ist ihnen etwa beim Rootkit TDL4 (TDSS, Alureon) gelungen. Microsoft will dem nun mit einem Update für den OS-Loader einen Riegel vorschieben.

Microsoft hat im Rahmen des Patch Day am 12. April die Sicherheitsempfehlung 2506014 veröffentlicht. Darin kündigt Microsoft die Verfügbarkeit einer Aktualisierung für den OS-Loader (Ladeprozess des Betriebssystems) der 64-Bit-Ausgaben (x64) von Windows 7, Vista, Server 2008 sowie Server 2008 R2 an.

Microsoft hat in dem OS-Loader (winload.exe) die Art und Weise überarbeitet, wie die Erfordernis der Treibersignierung durchgesetzt wird. Theoretisch dürfen in einem x64-Windows nur signierte Treiber geladen werden. Praktisch ist es jedoch möglich diese Erfordernis zu umgehen, wie einige wenige Rootkits zeigen. Daher hat Microsoft diese Prüfung nun verschärft.

Galerie: Gratis-Sicherheits-Tools  

Mit der Installation der bereit gestellten Aktualisierung für winload.exe werden weder bereits vorhandene Rootkits entfernt noch der Rechner vor einer zukünftigen Infektion mit Rootkits geschützt. Vielmehr verhindert der verbesserte OS-Loader, dass sich Rootkits mit Hilfe unsignierter Treiber, die sie beim Systemstart laden, tarnen können. Antivirus-Software sollte es dadurch wesentlich einfacher haben die Schädlinge zu entdecken und zu entfernen.

Es handelt sich hierbei um ein wichtiges Update, das für betroffene Systeme auch über das automatische Windows Update angeboten wird. Für 32-Bit-Windows gibt es dieses Update nicht, da hierfür die Treibersignierung nicht vorgeschrieben ist.