Debatte um Sicherheitsloch
F-Secure stuft Gefahr durch »KHOBE« nicht als hoch ein
Sicherheitsforscher von Matousec haben mithilfe der Software KHOBE demonstriert, dass sich Schadsoftware an Antivirenprogrammen vorbei auf PCs schleusen lässt. Der IT-Security-Spezialist F-Secure hält die Warnungen vor dieser Gefahr für übertrieben. Andere Forscher halten dagegen.
Wie berichtet (siehe Beitrag), haben Security-Spezialisten, die im Rahmen des Projekts Matousec.com zusammenarbeiten, einen Weg gefunden, um Sicherheitsmechanismen von nahezu allen aktuellen Antivirenprogrammen zu umgehen .Die Forscher setzen dabei die eigens entwickelte Software KHOBE (Kernel HOok Bypassing Engine) ein.
Mittels sogenannter Hooks integriert sich KHOBE in den Kernel von Windows-Rechnern und macht die Sicherheitslösung unwirksam. KHOBE tauscht dazu die SSDT (System Service Descriptor Table) aus, die von einem Großteil der Antivirensoftware benötigt wird. Damit kann – zumindest einer von vielen – Sicherheitsmechanismen ausgehebelt werden.
Die Sicherheitsfirma F-Secure, deren Software ebenfalls mittels KHOBE teilweise umgangen werden kann, wiegelt nun ab: »Es handelt sich in der Tat um ein schwerwiegendes Problem, und die technischen Befunde von Matousec sind insofern richtig«, sagt Mikko Hyppönen, Chief Research Officer der Firma im F-Secure-Weblog. »Aber diese Angriffsmöglichkeit hebelt nicht alle Antivirensysteme für immer aus.«
Laut Hyppönen werde Malware, welche die F-Secure-Antivirenlösung erkennt, nach wie vor geblockt. Das Problem betreffe nur neue, unbekannte Schadsoftware, für die keine Signaturerkennung vorliegt.
»Um Anwender unserer Lösungen vor unbekannter Malware zu schützen, haben wir mehrere Ebenen von Sicherheitssensoren und generische Engines zur Malware-Erkennung implementiert«, so der F-Secure-Fachmann weiter. »Das, was Matousec beschreibt, kann nur einige wenige dieser Sensoren umgehen.«
Sicherheitssoftware deaktivieren
Bislang konnten die Sicherheitslabs der finnischen Firma nacheigenen Angaben noch keine Angriffe beobachten, die sich der von Matousec beschriebenen Methode bedienten.
In einem Bericht des IT-Nachrichtenportals The Register (siehe Beitrag) betonen zwei Sicherheitsexperten jedoch, dass die von Matousec beschriebene Methode sehr wohl gefährlich sei. Nach Angaben eines Fachmanns von Metasploit etwa könne ein Malware-Schreiber mithilfe des Verfahrens dafür sorgen, dass ein vorhandenes Sicherheitsprogramm auf einem Rechner deinstalliert wird. Stattdessen werde das Programm des Malware-Autors aufgespielt.
Ein anderer IT-Security-Spezialist moniert in dem Beitrag, dass ein normaler Windows-User mit Administratorrechten mittels der beschriebenen Schwachstelle ein auf seinem Rechner vorhandenes Sicherheitsprogramm deaktivieren könne.
Diese Möglichkeit sollte jedoch bei Firmenrechnern per se ausgeschlossen sein. Nur der IT-Administrator sollte die Option haben, Security-Software auf Client-Rechnern aufzuspielen und zu löschen.
Lesen Sie mehr zum Thema
