KHOBE: Microsoft-Antivirus gegen neue Attacke immun

Sicherheit & Antivirus Microsoft hat darauf hingewiesen, dass seine Sicherheitslösungen Microsoft Security Essentials und Forefront nicht von einer bei vielen anderen ähnlichen Programmen ausnutzbaren Sicherheitslücke betroffen sind, die kürzlich öffentlich gemacht wurde. Wie das Unternehmen gegenüber 'SeattlePI' klar stellte, habe man direkt mit dem Sicherheitsdienstleister Matousec zusammen gearbeitet, um nachzuweisen, dass weder die kostenlosen Microsoft Security Essentials noch die Business-Security-Suite Forefront von der so genannten "KHOBE"-Lücke betroffen sind.

Matousec hatte in der letzten Woche einen Sicherheitshinweis veröffentlicht, dem zufolge viele Antivirus-Lösungen mit Hilfe einer so genannten Kernel Hook Bypassing Engine (KHOBE) beziehungsweise einer Argument-Switch Attacke ausgehebelt werden können.

Dabei kann eine Schadsoftware laut Matousec unauffälligen Code genau zum richtigen Zeitpunkt durch Schadcode austauschen, um so den Scanner einer Antivirus-Lösung zu täuschen, der sie normalerweise aufspüren könnte. Gerade PCs mit Multi-Core-CPUs sollen für die neue Angriffsform anfällig sein.

Die der Angriffstechnik zugrunde liegende Schwachstelle, bei der die so genannte System Service Descriptor Table (SSDT) ausgenutzt wird, welche einen Zugriff auf den Windows-Kernel erlaubt, ist eigentlich schon seit Jahren bekannt. Eine breite Anwendung fand bisher nicht statt, doch Multi-Core-Prozessoren erhöhen die Erfolgsaussichten für den Angreifer erheblich.

Microsofts Sicherheitsprodukte greifen nicht wie wie viele andere Anwendungen über die SSDT auf den Windows-Kernel zu und lassen sich somit mit der neuen Angriffsweise nicht austricksen. Generell kann die KHOBE-Attacke nur durchgeführt werden, wenn der Angreifer ohnehin schon Zugriff auf das System seines Opfers hat.
Diese Nachricht empfehlen
Kommentieren28
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden