66046

Kernelschutz von Vista

31.01.2007 | 12:05 Uhr | Hans-Christian Dirscherl

Der Kernelschutz von Vista besteht bei 64-Bit-Systemen aus mehreren Komponenten. Damit will Microsoft den Kernel von Vista vor Modifikationen schützen und beispielsweise Rootkits aussperren.

Ein Bestandteil des Kernelschutzes von Vista 64 Bit ist Patchguard. Zwar erkennt es Veränderungen in Zusammenhang mit dem Kernel, doch gibt es "genau beschriebene Methoden zur Deaktivierung des Schutzes". Das erleichtert Kaspersky Lab zufolge Angreifern ihre Attacke. Zudem wird der Patchguard-Schutzcode auf demselben Level ausgeführt wie die geschützte Software und wie der Code vor dem geschützt werden soll. Patchguard besitzt also die gleichen Rechte wie potentielle Angreifer und kann, wie Kaspersky Lab befürchtet, umgangen oder deaktiviert werden. Techniken hierzu seien bereits bekannt. Immerhin erkennen die Sicherheitsexperten an, das Patchguard die Stabilität des Windows-Systems erhöht, weil es legale Software davon abhält, den Kernel zu modifizieren.

Unternehmen jedoch, die wie Kaspersky Lab Schutzsoftware herstellen, würden in ihrer Arbeit behindert, weil sie aufgrund des restriktiven Kernelschutzes nicht mehr alle Funktionen ihrer Schutzsoftware zum Einsatz bringen könnten. Darüber hatten sich in der Vergangenheit bereits einige Sicherheitsunternehmen beklagt (wie sie hier und in diesem Bericht nachlesen können).

Der zweite Mechanismus zum Schutz des Kernels von Vista ist die Forderung nach digitalen Signaturen für jedes Modul und für jeden Treiber auf Kernelebene. Das Ganze läuft unter den Bezeichnungen "Mandatory Kernel Mode" und "Driver Signing".

Microsoft bietet Treiber-Programmierern aber verschiedene Möglichkeiten, um diesen Schutz zu umgehen. Das ist nötig, damit Firmen Treiber für Vista entwickeln und testen können. Von diesen Möglichkeiten können natürlich auch Angreifer Gebrauch machen. Zusätzlich wurde seinerzeit bereits im RC2 von Vista eine Möglichkeit entdeckt, diesen Schutz zu umgehen (Microsoft hat diese Lücke bereits geschlossen). Man muss also befürchten, dass Hacker auch beim Final Release von Vista Mittel und Wege finden, auf den derart geschützten Kernel zuzugreifen.

Ein genereller Kritikpunkt von Kaspersky Lab betrifft auch die Verfügbarkeit von Patchguard als Wachhund für den Kernel sowie die Überprüfung der Treiber-Signaturen: Beide Techniken stehen nämlich nur für 64-Bit-Rechner zur Verfügung. Für Vista mit 32 Bit gibt es keinen derartigen speziellen Schutz vor Rootkits.

PC-WELT Marktplatz

66046