Sicherheitsexperten von Matousec haben auf eine Attacke mit dem Namen Khobe („Kernel Hook Bypassing Engine“) hingewiesen, mit der sich nach ihren Tests 35 weit verbreitete Sicherheitsprogramme austricksen lassen. Eine Liste der betroffenen Software steht online. Die Attacke betrifft alle Windows-Versionen (32 und 64 Bit), auch das aktuelle Windows 7 und benötigt keine Administratorrechte.
Die Tests wurden nach Angaben des Unternehmens unter Windows XP Service Pack 3 und Windows Vista Service Pack 1 auf 32-Bit-Hardware durchgeführt. Die Resultate würden aber für alle Windows-Versionen gelten. Betroffen waren Sicherheitsprodukte von Firmen wie BitDefender, F-Secure, Kaspersky, McAfee, Sophos und Trend Micro
Grundsätzlich sind laut Matousec alle Sicherheitstools anfällig, die unter Windows sogenannte „System Service Descriptor Tables“ (SSDT) nutzen, um Malware zu erkennen. Viren können dabei einen Windows-Bug ausnutzen, bei dem zwei Programme in einer Wettlaufsituation um den Zugriff auf eine gemeinsame Ressource kämpfen.
Vereinfacht gesprochen präsentiert ein Virus dem Sicherheitsprogramm harmlosen Code zur Untersuchung. Sobald die Security-Software grünes Licht für die Ausführung gibt, wird dieser harmlose Code gegen gefährlichen Virus-Code ausgetauscht.
Die SSDT-Schwachstelle ist seit längerer Zeit bekannt, wurde von Angreifern bislang aber noch nicht ausgenutzt. Sie verspricht keinen hundertprozentigen Erfolg. Besser funktioniert eine Attacke auf Multicore-Systeme, also auf Rechner, deren Prozessor mehrere Kerne hat. Diese Systeme verbreiten sich immer mehr, weswegen der Angriff populärer werden könnte.
Die Sicherheitslücke bedeutet allerdings nicht, dass alle Windows-Rechner der Attacke schutzlos ausgeliefert sind. Matousec weist darauf hin, dass der Angreifer zunächst eine Möglichkeit benötigt, ein Programm auf dem System des Opfers auszuführen. Dazu könnte er beispielsweise eine Browserlücke, eine Schwachstelle in Microsoft Office, dem Adobe Reader oder Flash ausnutzen.
An dieser Stelle wiegeln die Antiviren-Hersteller ab. Von Sophos heißt es: „Matousec beschreibt eine Methode, um etwas zusätzlich zu tun, wenn es eine Malware geschafft hat, am Antiviren-Programm vorbei zu kommen.“
Ein Sprecher von F-Secure erklärte: „Das Problem tritt nur bei neuer, unbekannter Malware auf, die wir nicht über eine Signatur erkennen können. Wir haben mehrere Schichten von Sensoren und Erkennungsmechanismen, um unsere Kunden gegen solche unbekannte Malware zu beschützen … Wenn wir so eine Attacke erkennen würden, würden wir eine Signatur entwickeln und sie stoppen, bevor sie überhaupt angefangen hat. Wir haben aber ‚in freier Wildbahn‘ noch keinen Angriff mit dieser Technik beobachtet.“
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…