Malware-Schutz

Neue Angriffsform hebelt renommierte Security-Produkte aus

10. Mai 2010, 8:49 Uhr | Bernd Reder

Sicherheitsfachleute von Matousec.com haben hat einen neuen Weg gefunden, auf dem Angreifer Schadsoftware auf Zielrechnern platzieren können. Nach Angaben der Experten können auch Antiviren-Programm bekannte Hersteller solche Attacken nicht stoppen.

Die Liste der Sicherheitsprodukte, die laut Matousec angeblich verwundbar sind.
Die Liste der Sicherheitsprodukte, die laut Matousec angeblich verwundbar sind.

Matousec.com ist ein Projekt im Bereich IT-Sicherheit, dessen Mitarbeiter im vergangenen Jahr von der britischen Firma Different Internet Experience übernommen wurden. Allerdings dürfen die Matousec-Mitarbeiter weiterhin ihrem »Hobby« nachgehen: Sicherheitslücken in Security-Produkten für End-User aufspüren.

Die jüngste Veröffentlichung der Forscher weist auf einen gravierenden Mangel hin, den angeblich die Programmpakete fast aller renommierten Security-Anbieter aufweisen: die Möglichkeit, Schadsoftware an Malware-Scannern vorbei zu schleusen und auf PCs zu platzieren.

Laut diesem Beitrag auf der Home-Page von Matousec ist es relativ einfach, Schwachstellen in Anti-Malware-Produkten auszunutzen. Die Fachleute haben dies mithilfe der von ihnen entwickelten Software KHOBE (Kernel HOok Bypassing Engine) belegt.

Hooks ausgenutzt

KHOBE nutzt Schwachstellen von so genannten User-Mode- und Kernel-Mode-Hooks. Das sind, vereinfacht gesagt, »Andockstellen« von Sicherheitssoftware an Betriebssysteme wie Windows. In dem Artikel beschreibt Matousec, wie sich ein Angriff auf einen Windows-Rechner durchführen lässt, indem man SSDT-Hooks (System Service Descriptor Tables) ausnutzt.

Bei der Attacke gaukelt eine Malware den Sicherheitsprogrammen vor, sie sei »gut«. In einem eng gefassten Zeitfenster zwischen Sicherheitsprüfläufen lädt die Schadsoftware ihre bösartige Fracht dann auf dem Zielrechner ab. Details zur Attacke und Programmbeispiele sind im angesprochenen White-Paper zu finden.

Den Fachleuten zufolge sind vor allem Rechner mit Mehrkernprozessoren gefährdet, die Multi-Threading verwenden. Eine Voraussetzung für einen erfolgreichen Angriff ist, dass die Antiviren-Software SSDT-Hooks verwendet.

Das ist bei einer Vielzahl von Produkten der Fall. In der der Liste der Programme, deren Schutzfunktionen sich mithilfe von KHOBE und darauf aufsetzenden Attacken umgehen lassen, findet sich unter anderem Software von AVG, Bitdefender, F-Secure, Kaspersky, McAfee, Panda Security, Sophos und Trend Micro.

Nicht vertreten ist dagegen Symantec. Das Fazit der Forscher: »Die populärsten Sicherheitslösungen erfüllen schlicht und einfach nicht ihren Zweck.«


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+