Vista: "Hack"-Tool geblockt, Kernelschutz zwecklos?

Vor einigen Tagen wurde ein Treiber namens "Atsiv" vorgestellt, der Angreifern als Werkzeug zum Laden von schädlichem Code in den Systemkernel von Windows Vista dienen kann. Der Treiber selbst ist von Microsoft für die 64-Bit-Version von Windows Vista zertifiziert worden.

Die Zertifizierung ist nötig, um überhaupt auf den Kernel von Vista x64 zugreifen zu können, der normalerweise von der auch in der 64-Bit-Version von Windows Server 2003 enthaltenen PatchGuard-Technologie geschützt wird. Atsiv wurde entwickelt, um auch unsignierten Code in Vista auf Kernelebene ausführen zu können.

Dabei kann es sich zum Beispiel um Hardware-Treiber handeln, doch Microsoft betrachtet die Software auch als möglichen Türöffner für Schadcode. Um einer möglichen Gefährdung seiner Kunden entgegenzutreten, hat man deshalb beschlossen, Atsiv die Zertifizierung zu entziehen und die Software als Schadprogramm einzustufen.

Die Installation von Atsiv setzt zwar Administratorrechte voraus, weshalb Microsoft davon ausgeht, dass der Funktion des Tools keine Sicherheitslücke zugrunde liegt, doch weil der damit geladene Code vom System selbst nicht auf seine Sicherheit geprüft werden kann, stuft man das Programm als Sicherheitsrisiko ein.

Hintergrund ist, dass Atsiv gegen die Regelung für die Code-Signierung unter Vista x64 verstößt. So kann Atsiv verwendet werden, um die Identität des Autors des damit geladenen Programmcodes zu verstecken, was nicht zugelassen ist.


Ab sofort kann Atsiv seinen Verwendungszweck nicht mehr erfüllen. Die in Vista integrierte AntiSpyware-Software Windows Defender erkennt das Programm nun als Schadsoftware und löscht diese. Zudem wurde die Zertifizierung für Vista x64 rückgängig gemacht, so dass kein Code mehr mit Hilfe von Atsiv geladen werden kann, ohne dass dies vom Betriebssystem unentdeckt bleibt.

Das eigentliche Problem bleibt jedoch bestehen. Atsiv ist nur eine von zahllosen Möglichkeiten, Schadcode mit Hilfe zertifizierter Treiber vom Kernel ausführen zu lassen. Zahlreiche ordnungsgemäß signierte Treiber für die 64-Bit-Versionen von Windows Vista sind nämlich so schlecht programmiert, dass sie als Einfallstor für Schadprogramme missbraucht werden können.

Dies hatte die Sicherheitsexpertin Joanna Rutkowska auf der Security-Konferenz Black Hat vor kurzem während einer Präsentation nachgewiesen. Im Fall von Atsiv war eine schnelle Reaktion von Microsoft zwar möglich, doch wie man auf Angriffe mit Hilfe anderer Treiber von Drittanbietern reagieren will ist unklar.

Schließlich kann Microsoft nicht einfach die Zertifizierung der Treiber von wichtigen Hardware-Partnern wie Nvidia oder ATI rückgängig machen, die von den Autoren von Schadsoftware missbraucht werden. Rutkowska hatte das Problem anhand der Treiber der beiden Grafikkartenhersteller demonstiert. Sollten die Autoren von Viren und Würmern die Methode für ihre Zwecke missbrauchen, würde die Politik, nur signierten Treibern den Zugriff auf den Systemkern zu erlauben, wahrscheinlich nutzlos.

Microsoft wies darauf hin, dass der Zwang, Code für die 64-Bit-Version von Windows Vista signieren lassen zu müssen, keine Sicherheitsmaßnahme ist. Stattdessen sei der Ansatz Teil des tiefgreifenden Sicherheitskonzepts für Windows Vista x64. Ziel sei es vor allem, den Autor des signierten Programmcodes zu kennen, um bei möglichen Problemen eingreifen zu können.