Neuer Angriff trickst Windows-Sicherheitssoftware aus

Sicherheitsexperten von Matousec haben auf eine Attacke mit dem Namen Khobe („Kernel Hook Bypassing Engine“) hingewiesen, mit der sich nach ihren Tests 35 weit verbreitete Sicherheitsprogramme austricksen lassen. Eine Liste der betroffenen Software steht online. Die Attacke betrifft alle Windows-Versionen (32 und 64 Bit), auch das aktuelle Windows 7 und benötigt keine Administratorrechte.

Die Tests wurden nach Angaben des Unternehmens unter Windows XP Service Pack 3 und Windows Vista Service Pack 1 auf 32-Bit-Hardware durchgeführt. Die Resultate würden aber für alle Windows-Versionen gelten. Betroffen waren Sicherheitsprodukte von Firmen wie BitDefender, F-Secure, Kaspersky, McAfee, Sophos und Trend Micro

Grundsätzlich sind laut Matousec alle Sicherheitstools anfällig, die unter Windows sogenannte „System Service Descriptor Tables“ (SSDT) nutzen, um Malware zu erkennen. Viren können dabei einen Windows-Bug ausnutzen, bei dem zwei Programme in einer Wettlaufsituation um den Zugriff auf eine gemeinsame Ressource kämpfen.

Vereinfacht gesprochen präsentiert ein Virus dem Sicherheitsprogramm harmlosen Code zur Untersuchung. Sobald die Security-Software grünes Licht für die Ausführung gibt, wird dieser harmlose Code gegen gefährlichen Virus-Code ausgetauscht.

Die SSDT-Schwachstelle ist seit längerer Zeit bekannt, wurde von Angreifern bislang aber noch nicht ausgenutzt. Sie verspricht keinen hundertprozentigen Erfolg. Besser funktioniert eine Attacke auf Multicore-Systeme, also auf Rechner, deren Prozessor mehrere Kerne hat. Diese Systeme verbreiten sich immer mehr, weswegen der Angriff populärer werden könnte.

Die Sicherheitslücke bedeutet allerdings nicht, dass alle Windows-Rechner der Attacke schutzlos ausgeliefert sind. Matousec weist darauf hin, dass der Angreifer zunächst eine Möglichkeit benötigt, ein Programm auf dem System des Opfers auszuführen. Dazu könnte er beispielsweise eine Browserlücke, eine Schwachstelle in Microsoft Office, dem Adobe Reader oder Flash ausnutzen.

An dieser Stelle wiegeln die Antiviren-Hersteller ab. Von Sophos heißt es: „Matousec beschreibt eine Methode, um etwas zusätzlich zu tun, wenn es eine Malware geschafft hat, am Antiviren-Programm vorbei zu kommen.“

Ein Sprecher von F-Secure erklärte: „Das Problem tritt nur bei neuer, unbekannter Malware auf, die wir nicht über eine Signatur erkennen können. Wir haben mehrere Schichten von Sensoren und Erkennungsmechanismen, um unsere Kunden gegen solche unbekannte Malware zu beschützen … Wenn wir so eine Attacke erkennen würden, würden wir eine Signatur entwickeln und sie stoppen, bevor sie überhaupt angefangen hat. Wir haben aber ‚in freier Wildbahn‘ noch keinen Angriff mit dieser Technik beobachtet.“