Core Wars: Gefahr durch Schwachstellen im Kernel

„Das besonders tückische Element besteht darin, dass Schwachstellen auf Kernel-Ebene sämtliche Sicherheitsfunktionen umgehen“, gab Sicherheitsberater Tobias Klein von Cirosec auf der diesjährigen IT Defense in Hamburg zu bedenken.

Der Experte hat dem Trend einen Namen gegeben und mit dem Begriff „Core Wars“ bezeichnet, eine Art von schleichender und meistens unentdeckter Kriegsführung quasi mitten ins Herz der Unternehmen. Gemeint sind Angriffe, die auf den innersten Kern eines Betriebssystems abzielen. Im Gegensatz zu klassischer Malware zielen diese professionellen Varianten vor allem darauf ab, Hintertüren zu öffnen, mit denen sich das Unternehmen über eine längere Zeit gezielt ausspionieren lässt.

Schwachstellen im Kernel haben jedoch nur wenig Gemeinsamkeiten mit Rootkits, ebenfalls verdeckt operierenden Schädlingen. „Man kann Kernel-Schwachstellen für viele Dinge missbrauchen, das Laden von Rootkits ist dabei nur eine Variante“, betont Klein.

Bei allen Betriebssystemen, außer bei Windows Vista 64-Bit, sei hingegen gar keine Schwachstelle im Kernel erforderlich, um ein Kernel Rootkit zu laden. Dazu seien lediglich administrative Rechte erforderlich. „Bei Windows Vista 64-Bit habe Microsoft hingegen bereits einige Sicherheitsmechanismen eingebaut, wie die erzwungene Treibersignierung, so dass Kernel-Rootkits hier nur noch über Schwachstellen im Kernel in den Kern gebracht werden könnten.“

Fakt ist aber auch: Die Liste der bislang unveröffentlichten Kernel-Schwachstellen in verschiedenen Betriebssystemen wächst laut Klein generell weiter an. Von derartigen Attacken auf den Kernel betroffen sei unter anderem jetzt schon Windows Vista, aber auch Sun Solaris. Einige der Schwachstellen aus dem Jahr 2007 seien noch immer nicht behoben, die Ausbesserung dauere manchmal bis zu acht Monaten.

Der innerbetrieblichen Abwehr geht somit wertvolle Zeit verloren, insbesondere im Kampf gegen die organisierte Wirtschaftskriminalität. Klein demonstriert am Beispiel der Kernel von Mac OS X und Sun Solaris sowie diversen Treibern unter Windows Vista, welche verheerenden Auswirkungen dies haben kann.

Neben der Erweiterung der lokalen Rechte hat der Experte zahlreiche Schwachstellen enttarnt, um Rootkits in den Kernel einzuschleusen. Aber auch andere Sicherheitsmechanismen ließen sich komplett aushebeln, beispielsweise das in Solaris 10 eingeführte Zonenkonzept oder die erzwungene Treiber-Signierung unter 64-Bit-Vista. Mehr Details kann der Experte nicht verraten, da die Schwachstellen immer noch nicht behoben worden seien.

Nach Kleins Auffassung wird die Suche nach Schwachstellen innerhalb von Betriebssystem-Kernen durch die zeitverzögerte Reaktion der Hersteller immer unverzichtbarer. „Der Trend wird sich ganz klar in Richtung Kernel-Schwachstellen entwickeln, die entweder direkt remote ausgenutzt werden können oder mit konventionellen Userland-Schwachstellen kombiniert werden.“

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

1 Tag ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago