Im Rahmen der im vergangenen August abgehaltenen Sicherheitskonferenz "Black Hat" sorgte vor allem die Präsentation der Security-Expertin Joanna Rutkowska für einiges Aufsehen: Sie demonstrierte, wie sich der neun Windows-Kernel -Schutz in den 64-Versionen von Windows Vista austricksen lässt, um nicht signierten Treibercode einzuschleusen. Auch wenn dazu erstmal Administratorrechte auf einem Rechner erlangt werden müssen, eine nicht zu unterschätzende Gefahr, immerhin haben Treiber einen sehr tief greifenden Zugang zum System.

Abwehr

In der aktuellen Vorversion von Windows Vista hat Microsoft nun auf das Problem reagiert, der entsprechende Exploit-Code funktioniert im RC2 nicht mehr, wie Rutkowska in ihrem Weblog bestätigt. Doch die Sicherheitsexpertin sieht darin nicht nur Positives: Auch wenn es prinzipiell erfreulich sei, dass die Lücke geschlossen wurde, so könnte doch die konkrete Art des Fixes Probleme erzeugen.

Sektoren

So wie es aussehe, habe Microsoft einfach den direkten Zugriff auf einzelne Disk-Sektoren für Programme, die mit eingeschränkten Rechten funktionieren, untersagt. Dies hätte zur Folge, dass eine ganze Reihe von Disk-Tools - etwa zur Analyse oder auch zur Wiederherstellung des Festplatteninhalts - nicht mehr funktionieren würden. Abgesehen davon, würde dieser "Workaround" keine echte Beseitigung des Problems darstellen. Ein Angreifer könnte noch immer einen "echten" Treiber "übernehmen" und so eine Attacke durchführen.

Argumente

Bei Microsoft selbst hält man die gewählte Lösung in Hinblick auf Zeitrahmen und Relevanz der Lücke für die richtige, wie Stephen Toulouse aus der Sicherheitsabteilung der Redmonder gegenüber CNET zu Protokoll gibt. Auch geht er nicht davon aus, dass es zu ernsthaften Kompatibilitätsproblemen kommt, dazu komme noch, dass es ohnehin "nur" um die 64-Bit-Version von Vista gehe. (red)