KHOBE: Microsoft-Antivirus gegen neue Attacke immun

Microsoft hat darauf hingewiesen, dass seine Sicherheitslösungen Microsoft Security Essentials und Forefront nicht von einer bei vielen anderen ähnlichen Programmen ausnutzbaren Sicherheitslücke betroffen sind, die kürzlich öffentlich gemacht wurde. Wie das Unternehmen gegenüber 'SeattlePI' klar stellte, habe man direkt mit dem Sicherheitsdienstleister Matousec zusammen gearbeitet, um nachzuweisen, dass weder die kostenlosen Microsoft Security Essentials noch die Business-Security-Suite Forefront von der so genannten "KHOBE"-Lücke betroffen sind.

Matousec hatte in der letzten Woche einen Sicherheitshinweis veröffentlicht, dem zufolge viele Antivirus-Lösungen mit Hilfe einer so genannten Kernel Hook Bypassing Engine (KHOBE) beziehungsweise einer Argument-Switch Attacke ausgehebelt werden können.

Dabei kann eine Schadsoftware laut Matousec unauffälligen Code genau zum richtigen Zeitpunkt durch Schadcode austauschen, um so den Scanner einer Antivirus-Lösung zu täuschen, der sie normalerweise aufspüren könnte. Gerade PCs mit Multi-Core-CPUs sollen für die neue Angriffsform anfällig sein.

Die der Angriffstechnik zugrunde liegende Schwachstelle, bei der die so genannte System Service Descriptor Table (SSDT) ausgenutzt wird, welche einen Zugriff auf den Windows-Kernel erlaubt, ist eigentlich schon seit Jahren bekannt. Eine breite Anwendung fand bisher nicht statt, doch Multi-Core-Prozessoren erhöhen die Erfolgsaussichten für den Angreifer erheblich.

Microsofts Sicherheitsprodukte greifen nicht wie wie viele andere Anwendungen über die SSDT auf den Windows-Kernel zu und lassen sich somit mit der neuen Angriffsweise nicht austricksen. Generell kann die KHOBE-Attacke nur durchgeführt werden, wenn der Angreifer ohnehin schon Zugriff auf das System seines Opfers hat.