Sicherheitsexperten von Matousec haben auf eine Attacke mit dem Namen Khobe („Kernel Hook Bypassing Engine“) hingewiesen, mit der sich nach ihren Tests 35 weit verbreitete Sicherheitsprogramme austricksen lassen. Eine Liste der betroffenen Software steht online. Die Attacke betrifft alle Windows-Versionen (32 und 64 Bit), auch das aktuelle Windows 7 und benötigt keine Administratorrechte.
Die Tests wurden nach Angaben des Unternehmens unter Windows XP Service Pack 3 und Windows Vista Service Pack 1 auf 32-Bit-Hardware durchgeführt. Die Resultate würden aber für alle Windows-Versionen gelten. Betroffen waren Sicherheitsprodukte von Firmen wie BitDefender, F-Secure, Kaspersky, McAfee, Sophos und Trend Micro
Grundsätzlich sind laut Matousec alle Sicherheitstools anfällig, die unter Windows sogenannte „System Service Descriptor Tables“ (SSDT) nutzen, um Malware zu erkennen. Viren können dabei einen Windows-Bug ausnutzen, bei dem zwei Programme in einer Wettlaufsituation um den Zugriff auf eine gemeinsame Ressource kämpfen.
Vereinfacht gesprochen präsentiert ein Virus dem Sicherheitsprogramm harmlosen Code zur Untersuchung. Sobald die Security-Software grünes Licht für die Ausführung gibt, wird dieser harmlose Code gegen gefährlichen Virus-Code ausgetauscht.
Die SSDT-Schwachstelle ist seit längerer Zeit bekannt, wurde von Angreifern bislang aber noch nicht ausgenutzt. Sie verspricht keinen hundertprozentigen Erfolg. Besser funktioniert eine Attacke auf Multicore-Systeme, also auf Rechner, deren Prozessor mehrere Kerne hat. Diese Systeme verbreiten sich immer mehr, weswegen der Angriff populärer werden könnte.
Die Sicherheitslücke bedeutet allerdings nicht, dass alle Windows-Rechner der Attacke schutzlos ausgeliefert sind. Matousec weist darauf hin, dass der Angreifer zunächst eine Möglichkeit benötigt, ein Programm auf dem System des Opfers auszuführen. Dazu könnte er beispielsweise eine Browserlücke, eine Schwachstelle in Microsoft Office, dem Adobe Reader oder Flash ausnutzen.
An dieser Stelle wiegeln die Antiviren-Hersteller ab. Von Sophos heißt es: „Matousec beschreibt eine Methode, um etwas zusätzlich zu tun, wenn es eine Malware geschafft hat, am Antiviren-Programm vorbei zu kommen.“
Ein Sprecher von F-Secure erklärte: „Das Problem tritt nur bei neuer, unbekannter Malware auf, die wir nicht über eine Signatur erkennen können. Wir haben mehrere Schichten von Sensoren und Erkennungsmechanismen, um unsere Kunden gegen solche unbekannte Malware zu beschützen … Wenn wir so eine Attacke erkennen würden, würden wir eine Signatur entwickeln und sie stoppen, bevor sie überhaupt angefangen hat. Wir haben aber ‚in freier Wildbahn‘ noch keinen Angriff mit dieser Technik beobachtet.“
Der digitale Wandel hat die Art und Weise verändert, wie Verbraucherrechte gehandhabt werden. Insbesondere in…
Chrome speichert Passkeys nun auch unter Windows, macOS und Linux im Google Passwortmanager. Dadurch stehen…
In einem klimatisierten Büro mag ein herkömmlicher Laptop großartig sein, aber was passiert, wenn der…
Betroffen ist derzeit offenbar nur das iPad Pro M4. Es lässt sich Berichten von Nutzern…
Die EU-Kommission kann die Entscheidung noch anfechten. Das Gericht der Europäischen Union kassiert lediglich die…
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…