Malware-Schutz: Microsoft baut Anti-Cheat-Technik in Windows-Kernel

Microsoft wird seine Windows-Betriebssysteme mit einem neuen Sicherheits-Feature ausstatten, das Malware und andere Bedrohungen, die über besonders ausgeklügelte Exploits eindringen, deutlich stärkere Grenzen setzen soll. Die so genannte Kernel Data Protection (KDP) sorgt im Grunde dafür, dass Teile des Kernels im Arbeitsspeicher in einen Read-only-Modus versetzt werden. Damit schiebt man einen Riegel vor Angriffe, die über fehlerhafte Software-Komponenten mit sehr tiefgehenden Rechten ausgeführt werden. In der Regel handelt es sich hier um Treiber, die zwar ordnungsgemäß signiert sind und somit auf tiefer Ebene agieren dürfen, die aber trotzdem Sicherheitslücken mitbringen.

Angreifer nutzen dies immer wieder aus, um über diese Schwachstellen Zugriff auf Speicherbereiche zu nehmen, die vom Kernel genutzt werden. Hier werden dann Daten so manipuliert, dass weitere Aktionen wie das Einschleusen und Ausführen von Code mit ebensolchen Rechten möglich werden. Die üblichen Schutzmechanismen setzen in der Regel auf höherer Ebene an und sind entsprechend machtlos.

Die grundlegende Architektur hinter KDP wurde eigentlich für ganz andere Aufgaben entwickelt: Der Schreibschutz für bestimmte Speicherbereiche sollte eigentlich für Digital Rights Management (DRM)-Systeme und auch Anti-Cheat-Funktionen von Spielen genutzt werden. Dann aber erkennte man, dass ein solches Feature auch im Betriebssystem ziemlich nützlich sein könnte.

KDP wird daher nun in den kommenden Insider-Builds, die von Redmond verteilt werden, zu finden sein. Später wird die Technologie dann auch in die finalen Versionen einfließen - allerdings steht hier noch nicht fest, wann genau das der Fall sein wird. Immerhin muss man zuvor sicherstellen, dass auch die verschiedenen Anwendungen von Drittherstellern - also vor allem die Treiber, weiterhin funktionieren.

Siehe auch: