Bild nicht mehr verfügbar.
Antirootkit-Bugfix nutzlos
Joanna Rutkowska hatte im Sommer auf der BlackHat-Konferenz eine mittlerweile als Pagefile-Attacke bekannt gewordene Schwachstelle vorgeführt. Microsoft reagiert und schloss die Lücke mit einem Antirootkit-Bugfix, der WebStandard berichtete. Diese Fehlerbereinigung, die in den zweiten Release Candidate von Windows Vista integriert wurde, soll nun, so Rutkowska, so gut wie nutzlos sein.
Unsignierte Treiber
Rutkowska gelang es, unsignierte Treiber in den Vista-Kernel zu laden. Dies gelang durch eine "Überforderung" des Arbeitsspeicher, der dann den von Vista bereits geladenen Kerneltreiber in den virtuellen Speicher auf der Festplatte auslagern musste. Die dort ungeschützt liegenden Speicherteile konnten dann manipuliert und eigene Treiber eingeschleust werden.
Empfehlung
Die Expertin empfahl Microsoft daher den Usermode-Anwendungen generell den direkten Zugriff auf die Festplatte zu verbieten oder das Pagefile zu verschlüsseln. Auch die Vermeidung der Auslagerung des Kernel-Codes wäre eine wirkungsvolle Methode gewesen, so Rutkowska. Die erste Lösung war aus Sicht der Rootkit-Forscherin die schlechteste ein, da damit Disk-Editoren und Disk-Recovery-Tools nicht mehr ohne weiteres funktionieren würden. Und genau diese Methode dürfte Microsoft nun für seine Fehlerbereinigung gewählt haben.
Nutzlos
Microsoft blockiert zwar nun den Raw-Access, selbst wenn er mit Administratorrechten ausgeführt wird. Die Hersteller von Festplatten-Tools müssen ihre Treiber von Microsoft zertifizieren und signieren lassen um Zugriff zu erhalten. Allerdings schütze dies nicht davor, dass AngreiferInnen signierte Treiber für ihre Zwecke missbrauchen und schädlichen Code einbauen.
Kritik
