Vista: Symantec hält Systemkern für relativ sicher

Symantec, der Marktführer für IT-Sicherheits-Software, hat gestern den letzten von drei Berichten veröffentlicht, die Microsofts Sicherheitsbemühungen im neuen Betriebssystem Windows Vista unter die Lupe nehmen. Konkret beschäftigte man sich nach den Netzwerkfunktionen und der Benutzerkontenkontrolle nun mit dem Systemkern. Insgesamt befindet Symantec Microsofts Anstrengungen den Kernel abzusichern für erfolgreich. In der von den Spezialisten untersuchten Testausgabe vom Februar 2006 finden sich ihren Angaben zufolge jedoch zwei Schwachstellen in der System-Basis, die zu massiven Problemen führen könnten, wenn sie bis zum Erscheinen der finalen Ausgabe nicht beseitigt werden.

Laut Symantec wurde die Kernel-Sicherheit gegenüber dem Vorgänger Windows XP "signifikant" verbessert. Selbst im Vergleich zu anderen Betriebssystemen wie Linux oder Apples Mac OS X, die normalerweise als Maßstab in diesem Bereich gehandelt werden, müsse sich Windows Vista nicht verstecken, heisst es in dem Bericht.

Die beiden gefundenen Schwachstellen betreffen wie die auf der Black Hat demonstrierte Lücke den neuen Zwang, Treiber, die im Kernel-Modus laufen, von Microsoft oder einem vertrauenswürdigen Partner zertifizieren zu lassen. Offenbar lässt sich die Treibersignierung relativ einfach umgehen, so dass weiterhin Schad-Code im Kernel-Modus ausgeführt werden kann.

Symantec gibt an, dass die eine Umgehungsmethode darauf basiert, die Dateien Winload.exe und Ci.dll zu verändern. Werden diese entsprechend modifiziert, können die in ihnen enthaltenen Funktionen zur Kontrolle der Treibersignatur umschifft werden. Zwar werden die Dateien geschützt abgelegt, doch auch diese Vorsichtmaßnahme ließ sich angeblich leicht umgehen.

Das zweite Problem geht darauf zurück, dass einmal erteilte Zertifikate in der Winload.exe nicht wieder annulliert werden können. Missbraucht man nun ein legitimes Zertifikat und liefert Schad-Software damit aus, kann die Treibersignierung ebenfalls umgangen werden. Microsoft hat bereits angekündigt, dass zumindest dieses Problem im ersten Release Candidate von Windows Vista beseitigt wird, indem man die Annullierung von Zertifikaten integriert.

Wie bei den beiden vorangegangenen Symantec-Berichten zur Sicherheit von Windows Vista, gilt auch in diesem Fall, dass Microsoft bereits die meisten Fehler behoben hat, die in der gestesteten Vorabversion vom Februar gefunden wurden. Man mache ständig Fortschritte, was die Behebung von Problemen angeht, die von Microsoft, seinen Partnern und den zahlreichen freiwilligen Testern gefunden werden.