Core Wars: Gefahr durch Schwachstellen im Kernel

Bei Schwachstellen im Kernel und in Treibern besteht besonders hohe Angriffsgefahr, da Malware direkt auf die Hardware zugreifen kann. ZDNet nimmt mögliche Abwehrstrategien unter die Lupe.

„Das besonders tückische Element besteht darin, dass Schwachstellen auf Kernel-Ebene sämtliche Sicherheitsfunktionen umgehen“, gab Sicherheitsberater Tobias Klein von Cirosec auf der diesjährigen IT Defense in Hamburg zu bedenken.

Der Experte hat dem Trend einen Namen gegeben und mit dem Begriff „Core Wars“ bezeichnet, eine Art von schleichender und meistens unentdeckter Kriegsführung quasi mitten ins Herz der Unternehmen. Gemeint sind Angriffe, die auf den innersten Kern eines Betriebssystems abzielen. Im Gegensatz zu klassischer Malware zielen diese professionellen Varianten vor allem darauf ab, Hintertüren zu öffnen, mit denen sich das Unternehmen über eine längere Zeit gezielt ausspionieren lässt.

Schwachstellen im Kernel haben jedoch nur wenig Gemeinsamkeiten mit Rootkits, ebenfalls verdeckt operierenden Schädlingen. „Man kann Kernel-Schwachstellen für viele Dinge missbrauchen, das Laden von Rootkits ist dabei nur eine Variante“, betont Klein.

Bei allen Betriebssystemen, außer bei Windows Vista 64-Bit, sei hingegen gar keine Schwachstelle im Kernel erforderlich, um ein Kernel Rootkit zu laden. Dazu seien lediglich administrative Rechte erforderlich. „Bei Windows Vista 64-Bit habe Microsoft hingegen bereits einige Sicherheitsmechanismen eingebaut, wie die erzwungene Treibersignierung, so dass Kernel-Rootkits hier nur noch über Schwachstellen im Kernel in den Kern gebracht werden könnten.“

Fakt ist aber auch: Die Liste der bislang unveröffentlichten Kernel-Schwachstellen in verschiedenen Betriebssystemen wächst laut Klein generell weiter an. Von derartigen Attacken auf den Kernel betroffen sei unter anderem jetzt schon Windows Vista, aber auch Sun Solaris. Einige der Schwachstellen aus dem Jahr 2007 seien noch immer nicht behoben, die Ausbesserung dauere manchmal bis zu acht Monaten.

Der innerbetrieblichen Abwehr geht somit wertvolle Zeit verloren, insbesondere im Kampf gegen die organisierte Wirtschaftskriminalität. Klein demonstriert am Beispiel der Kernel von Mac OS X und Sun Solaris sowie diversen Treibern unter Windows Vista, welche verheerenden Auswirkungen dies haben kann.

Neben der Erweiterung der lokalen Rechte hat der Experte zahlreiche Schwachstellen enttarnt, um Rootkits in den Kernel einzuschleusen. Aber auch andere Sicherheitsmechanismen ließen sich komplett aushebeln, beispielsweise das in Solaris 10 eingeführte Zonenkonzept oder die erzwungene Treiber-Signierung unter 64-Bit-Vista. Mehr Details kann der Experte nicht verraten, da die Schwachstellen immer noch nicht behoben worden seien.

Nach Kleins Auffassung wird die Suche nach Schwachstellen innerhalb von Betriebssystem-Kernen durch die zeitverzögerte Reaktion der Hersteller immer unverzichtbarer. „Der Trend wird sich ganz klar in Richtung Kernel-Schwachstellen entwickeln, die entweder direkt remote ausgenutzt werden können oder mit konventionellen Userland-Schwachstellen kombiniert werden.“

Themenseiten: Cirosec, Hacker, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Core Wars: Gefahr durch Schwachstellen im Kernel

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *