"Bootkit" trickst Vistas Code-Signierung aus

23. Juli 2007, 13:05
28 Postings

Ausführung von Code mit Kernel-Privilegien und ohne Microsoft-Signatur - Auch DRM-gesicherte Videos sollen sich so knacken lassen

Mit Windows Vista hat Microsoft eine ganze Reihe von neuen Methoden eingeführt, die die grundlegende Sicherheit von Windows verbessern sollen. Dazu gehört, dass Code, der mit Kernel-Privilegien laufen will, von Microsoft digital signiert sein muss. Auf diese Weise soll Schadcode von vornherein von dieser OS-Ebene ausgesperrt werden.

Trickreich

Doch der beste Schutz nutzt nichts, wenn er sich austricksen lässt, und dies scheint in diesem Fall nun gelungen zu sein, wie heise online berichtet. Indische Sicherheitsexperten haben auf der Black-Hat-Konferenz in Amsterdam einen eigenen Bootloader vorgestellt, der die entsprechenden Sicherheitschecks umgehen kann.

Prozess

Das sogenannte VBootkit greift dabei den Boot-Prozess der neuen Windows-Version an. Da der Vista-Start offenbar "blind" passiert, das Betriebssystem also nicht überprüft, ob die vorherige Stufe korrekt beendet wurde, ist es möglich das Bootkit noch vor dem eigentlichen Start des Boot-Prozesses in den Speicher zu kopieren.

Interrupt 13

Anschließend schnappt sich die Software den Interrupt 13, der unter anderem für Lesezugriffe auf die Platte zum Einsatz kommt. Auf diese Weise kann das VBootkit direkt während dem Laden Änderungen an den Dateien vornehmen, ohne dass diese von Windows entdeckt werden.

Build

Die Demonstration des VBootkits erfolgte anhand des Release Candidate 2 von Windows Vista. Die Experten verweisen aber darauf, dass sich die Methode auch für die Final-Version von Vista anpassen lässt, dass man dies noch nicht gemacht hat, sei vor allem eine Frage von mangelnden Ressourcen.

Mithorchen

Neben der Einschmuggelung von Schadcode könnte so ein Bootkit aber noch für andere Aktivitäten genutzt werden. So zeigen sich die beiden Sicherheitsspezialisten davon überzeugt, dass sich auf diese Weise auch der Pfad zwischen Datenträger und Grafikkarte abhorchen lässt. Die eigentlich per Digital Rights Management geschützten Inhalte ließen sich so ungeschützt abgreifen. (red)

  • Bild nicht mehr verfügbar
Share if you care.