Schwachstellen im Kern

»Wer in den Kern eines Betriebssystems eindringen und den Kern so manipulieren kann, dass dieser dann Schadcode ausführt, hat das ganze System im kriminellen Griff«, weiß Tobias Klein, Berater beim Heilbronner Sicherheitsspezialisten Cirosec. Klein geht davon aus, dass deshalb in Zukunft die Betriebssystemkerne vermehrt ins Visier der Computerkriminellen kommen, weil hier unvergleichbar mehr Privilegien usurpiert werden können als bei An­griffen auf Schwachstellen der Benutzerebene wie beispielsweise gegen Browser. Auch habe man die ­potenziellen Schwachstellen im Anwenderbereich mittlerweile einigermaßen im Griff, während das ­Gefahrenpotenzial von Schwachstellen im Betriebs­sys­temkern gewaltig unterschätzt werde. »Schwachstellen im Betriebssystem sind nicht zuletzt deshalb besonders gefährlich, weil damit alle Sicherheits­instrumente, die installiert sind, auf einen Schlag ausgehebelt werden können«, warnt der Cirosec-Spezialist.

Überlastangriff auf den Kernel
Tobias Klein hat allein im Jahr 2007 mehrere Schwachstellen unter anderen in den Betriebssystemen Sun Solaris, Mac OS X und Windows Vista gefunden, die zum Teil bis heute nicht behoben sind. Auf der Sicherheitskonferenz IT-Defense 2008 in Hamburg zeigte er einige wunde Punkte im Detail. Neben der Erweiterung der lokalen Rechte nutzte der Sicherheitsspezialist entsprechende Schwachstellen, um diverse Sicherheits­mechanismen, wie beispielsweise das in Solaris 10 eingeführte Zonenkonzept oder die obligatorische Treiber-Signierung unter Vista 64bit, komplett auszu­hebeln. Dass auch Sicherheitssoftware selbst der ­Träger von Schwachstellen sein kann, wird oft verkannt, ist aber nichts Neues. Tobias Klein zeigte am Beispiel einer Schwachstelle des Security-Pakets von G Data, wie sich darüber ein Rootkit in den Betriebssystemkern laden lässt.