Windows Rootkit

Dafür verändern sie Windows-Systemfunktionen, wie z.B. die zum Anzeigen vorhandener Daten (Hooking).

Das sollte PatchesGuard, der offizielle Kernpatch-Schutz (KPP), vermeiden. Es greift ein, wenn Fremdsoftware wichtige Bestandteile des Windows-Kernels bearbeitet - unabhängig davon, welche Rechte es hat. Bei Intel Prozessor Trace (PT) können Sie gewisse Daten über den gerade verarbeiteten Quellcode einholen. Das Problem besteht darin, dass der Patcheschutz diesen PMI-Handler nicht zu überwachen scheint.

Anschließend überwachen Sie die Windows-Funktion, nach der Sie suchen. Er kann dann die Windows-Funktion bearbeiten, in deren Zusammenhang er gerade arbeitet - was der PatchGuard nicht zulassen würde, dass normaler Quellcode durchkommt, auch wenn er im Kernel-Modus abläuft. Die CyberArk hat Microsoft über diese Tatsache aufklärt. Eine Angreiferin, die GhostHook verwenden möchte, muss ein komplett kompromittiertes Betriebssystem haben, d.h. sie muss in der Lage sein, Quellcode im Kernelmodus ausführen zu können.

Dies ist daher kein Grund für ein Sicherheitsupdate. Die Redakteurin schlägt jedoch vor, dass dieses Fehlerbild in einer neueren Version von Windows eventuell korrigiert werden könnte. Auch Microsoft ist wieder in einen bedenklichen Designkompromiss verwickelt, den zwei Häcker namens Skywing und sape bereits 2005 in ihrem Papier Bypassing PatchGuard on Windows x64 offenbarten:

Patcheschutz funktioniert nicht in einer übergeordneten Schutzzone, sondern in der gleichen Schutzzone wie der Programmcode, vor dem er vor. Daher kann PatchGuard nicht vor allen Attacken gegen die Unversehrtheit von Windows vorgehen. Man kann PatchGuard nicht wasserfest machen und ist auch nicht dazu bestimmt. Es bleibt abzuwarten, ob uns nun Wurzelkits, die GhostHook verwenden, bedrohen werden.

Dies wäre keinesfalls das erste Mal, dass Mal, dass Schadsoftware PatchGuard umgangen hat.