Joanna Rutkowska: Antirootkit-Bugfix in Vista RC2 nutzlos

29. Oktober 2006, 14:29
4 Postings

Bekannte Rootkit-Forscherin sieht keine Verbesserungen für den Vista-Kernel durch neues Update

Ein Blogeintrag mit dem Titel "Vista RC2 vs. pagefile attack (and some thoughts about Patch Guard)" von der bekannten Rootkit-Forscherin Joanna Rutkowska sorgt derzeit für heiße Diskussionen. Rutkowska zieht dabei den Schluss, dass Microsofts Antirootkit-Bugfix im zweiten Release Candidate von Windows Vista nur eine kleine kosmetische Verbesserung sei.

Antirootkit-Bugfix nutzlos

Joanna Rutkowska hatte im Sommer auf der BlackHat-Konferenz eine mittlerweile als Pagefile-Attacke bekannt gewordene Schwachstelle vorgeführt. Microsoft reagiert und schloss die Lücke mit einem Antirootkit-Bugfix, der WebStandard berichtete. Diese Fehlerbereinigung, die in den zweiten Release Candidate von Windows Vista integriert wurde, soll nun, so Rutkowska, so gut wie nutzlos sein.

Unsignierte Treiber

Rutkowska gelang es, unsignierte Treiber in den Vista-Kernel zu laden. Dies gelang durch eine "Überforderung" des Arbeitsspeicher, der dann den von Vista bereits geladenen Kerneltreiber in den virtuellen Speicher auf der Festplatte auslagern musste. Die dort ungeschützt liegenden Speicherteile konnten dann manipuliert und eigene Treiber eingeschleust werden.

Empfehlung

Die Expertin empfahl Microsoft daher den Usermode-Anwendungen generell den direkten Zugriff auf die Festplatte zu verbieten oder das Pagefile zu verschlüsseln. Auch die Vermeidung der Auslagerung des Kernel-Codes wäre eine wirkungsvolle Methode gewesen, so Rutkowska. Die erste Lösung war aus Sicht der Rootkit-Forscherin die schlechteste ein, da damit Disk-Editoren und Disk-Recovery-Tools nicht mehr ohne weiteres funktionieren würden. Und genau diese Methode dürfte Microsoft nun für seine Fehlerbereinigung gewählt haben.

Nutzlos

Microsoft blockiert zwar nun den Raw-Access, selbst wenn er mit Administratorrechten ausgeführt wird. Die Hersteller von Festplatten-Tools müssen ihre Treiber von Microsoft zertifizieren und signieren lassen um Zugriff zu erhalten. Allerdings schütze dies nicht davor, dass AngreiferInnen signierte Treiber für ihre Zwecke missbrauchen und schädlichen Code einbauen.

Kritik

In Rutkowskas Kritik mischte sich nun auch noch eine weitere Meldung: Helmuth Feericks, Cheftechniker des Unternehmens Authentium, meldete gegenüber der Washington Post, dass es gelungen sei, die PatchGuard-Schutz auszuschalten, eigene Programme zu installieren und PatchGuard anschließend wieder anzuschalten.(red)

  • Bild nicht mehr verfügbar
Share if you care.