Lücken im Kernel: So brechen Hacker in jeden Rechner ein

Im Gegensatz zu lokalen Attacken, gibt es deutlich weniger Netzwerkangriffe, die dem Angreifer erlauben, Kernel-Mode-Code auszuführen. Allerdings besteht ein starkes Ungleichgewicht zwischen Windows und Linux. Für Linux ist die Zahl der bekannten Angriffsmöglichkeiten recht überschaubar. Der Windows-Kernel hingegen lässt sich durch zahlreiche bekannte Angriffe austricksen.

Das Hauptproblem unter Linux ist nicht anders als bei Windows: Viele Treiber von Drittherstellern sind mit zahllosen Bugs behaftet, die ein Eindringen in den Kernel von außen ermöglichen. Laut Ormandy und Tinnes handelt es sich dabei vor allem um WLAN-Treiber. Allerdings ist etwa auch ein Grafiktreiber von Nvidia mit einem Bug bekannt, der einen Angriff von außen ermöglicht. Er ist jedoch schon vor vier Jahren behoben worden.

Um einen Linux-Rechner mit fehlerhaftem WLAN-Treiber von außen aktiv anzugreifen, muss man in der Regel speziell modifizierte WLAN-Pakete senden, was die Reichweite eines solchen Angriff natürlich begrenzt. Falls jedoch IP-Routing aktiviert ist, kann man solche Pakete theoretisch auch über das Internet senden. Der Rechner leitet sie an das WLAN-Interface weiter. Generell gilt natürlich für alle Rechner, die aus dem Internet erreichbar sind, dass sämtliche Treiber von Consumer-Devices dort nichts verloren haben.

Ein weiterer inzwischen beseitigter Bug betrifft das SCTP-Protokoll, das oberhalb von IP auf demselben OSI-Layer wie TCP und UDP steht. Es wird von einigen VoIP-Carriern eingesetzt, ist aber auf Standard-Linux-Rechnern nicht installiert. Ein verwundbarer Rechner konnte seinerzeit angegriffen werden, indem man ihm über das Internet bestimmte SCTP-Pakete sandte.

Die Google-Sicherheitsexperten weisen darauf hin, dass es noch einige andere Netzwerklücken gegeben hat, mit denen man in den Kernel eindringen konnte, erwähnen sie aber nicht explizit.

Unter Windows sieht es ganz anders aus: So sind für Windows eine ganze Reihe von Netzwerk-Angriffen bekannt. Microsoft beseitigt sie bei Bekanntwerden recht schnell. Viele dieser Bugs befinden sich seit 1993 in Windows NT. Niemand weiß, ob sie von Cyberkriminellen ausgenutzt wurden, bevor sie jemand veröffentlicht oder an Microsoft gemeldet hat.

An erster Stelle nennen Ormandy und Tinnes eine Netzwerk-Einbruchsmöglichkeit in den Kernel, wo man sie eher nicht vermutet, nämlich Antiviren- und Firewallprogramme für Windows. Viele Kernelmodule dieser Programme seien so buggy, das man sie leicht für Kernel-Hacks ausnutzen kann.

Weitere Angriffspunkte seien das GDI, dass Microsoft aus Performancegründen in den Kernel verlegt hat. Auch der TCP/IP-Stack habe Bugs, beispielsweise die von Neel Mehta entdeckte Lücke. Wenn der Protokollstack einen Bug hat, reicht es aus, dass ein Rechner im Internet erreichbar ist, um angegriffen zu werden. Der von Immunity demonstrierte SMBv2-Exploit hingegen lässt sich nur ausnutzen, wenn man den Dienst Fileserver erreichen kann, was typischerweise nur aus dem Intranet der Fall ist.