28.07.2011 | Redakteur: Stephan Augsten
Ein Sicherheitsforscher des Antivirus-Experten Norman hat ein Dutzend Fehler auf der Kernel-Ebene von Microsoft Windows entdeckt. Mit welcher Hacking-Technik sich die Kernel-Schwachstellen ausnutzen lassen, soll kommende Woche im Rahmen der Black Hat Conference 2011 präsentiert werden.
Parameter-Übergaben zwischen der Kernel-Ebene und dem „angrenzenden“ Benutzermodus von Microsoft Windows lassen sich offenbar für unerlaubte Zugriffe und Rechteanhebung nutzen. Möglich machen es Codierungsfehler in den Rückruf-Funktionen (Callbacks), die schon seit gut einem Jahrzehnt fest in Microsoft Windows verankert sind.
Rückruf-Funktionen durch den Benutzermodus gehören zu den essentiellen Windows-Systemprozessen. Die Callbacks ermöglichen es, die Programmierschnittstelle für Grafikkomponenten (Graphics Device Interface, GDI) direkt anzusteuern, um Fenster-Strukturen zu ändern und Objekte zu verschieben.
Jedoch verursachen speziell manipulierte Aufrufe kritische Validierungsfehler, die den Kernel angreifbar machen. Wie genau das funktioniert, will Tarjei Mandt, Sicherheitsforscher des norwegischen Security-Spezialisten Norman ASA, kommende Woche auf der Hacker-Konferenz „Black Hat 2011“ in Las Vegas präsentieren.
Die Kernel-Bugs sind laut Mandt ein grundlegendes Design-Problem von Windows. Callbacks seien zwar ebenso fester Bestandteil anderer Betriebssysteme, jedoch würden sie typischerweise nicht die Prozessausführung innerhalb des Kernels unterbrechen. Unter Windows jedoch sei genau dies möglich, da der Win32K.sys-Treiber globale Locking-Mechanismen nutze, die sich des Designs wegen mithilfe der Rückruf-Funktionen entsperren ließen.
Insgesamt hat Mandt zwölf solcher Schwachstellen gefunden. Ein Dutzend Kernel-Anfälligkeiten erscheine auf den ersten Blick nicht gerade wenig, „ihre tatsächliche Anzahl liegt aber vermutlich noch höher“, warnt Mandt. Es sei nicht auszuschließen, dass ihre Zahl in die Hunderte gehe.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052461) | Archiv: Vogel Business Media
