Vista: Microsoft blockiert Hack von der Black-Hat-Konferenz

Ein auf der Sicherheitskonferenz Black Hat demonstrierter Hackerangriff auf die 64-Bit-Version von Windows Vista ist unter der neuesten Vorabversion nicht mehr möglich. Dies schrieb die polnische Sicherheitsspezialistin Joanna Rutkowska in ihrem Blog. Sie hat das Problem aufgezeigt.

Der bei Coseinic beschäftigten Wissenschaftlerin gelang die Ausführung eines unsignierten Treibers im Kernel von Windows Vista. Eigentlich sollte das System in der 64-Bit-Version nur signierte Treiber akzeptieren.

Mit dem Anfang des Monats veröffentlichten Release Candidate 2 sei der Angriff nicht mehr möglich, schrieb Rutkowska. Sie warnt jedoch davor, dass die von Microsoft eingesetzte Lösung Kompatibilitätsprobleme bereiten könnte.

Um die Schwachstelle zu beseitigen, hat Microsoft den direkten Schreibzugriff für Applikationen im Usermode gesperrt. Diese Maßnahme greift auch bei Ausführung durch einen Anwender mit Admin-Rechten. Programme wie Recovery-Tools könnten laut Rutkowska dadurch gestört werden. Zudem sei diese Lösung nur von kurzer Dauer. So könnte ein Angreifer einen erlaubten Treiber für schädliche Zwecke missbrauchen.

Stephen Toulouse von Microsoft sagte, dass die vorgenommene Änderung in Bezug auf den Zeitrahmen und die Auswirkungen auf das Produkt angemessen gewesen sei. Man glaube nicht, dass es dadurch zu erheblichen Problemen mit der Kompatibilität komme. Schließlich gehe es nur um die 64-Bit-Version von Vista.

Toulouse betonte, dass ein Hacker für einen erfolgreichen Angriff Admin-Rechte haben müsse. Dies werde durch die User Account Control aber verhindert. „Es ist sehr schwierig, einen Computer vor vorsätzlichen Angriffen seines eigenen Administrators zu schützen“, resümiert der Microsoft-Manager.