Tipp

Ist Microsofts Kernelschutz auch gegen Fremdsoftware gerichtet?

Jan W. Jan W.

Firewallhersteller Agnitum unterstellt Microsoft, mit seiner Kernel Patch Protection nicht nur Hacker auszusperren, sondern vor allem die Entwicklung und Nutzung von externer Sicherheitssoftware erschweren zu wollen.

Nach einer eingehenden Analyse der neuen Sicherheitsmaßnahmen, die von Microsoft unter der Bezeichnung "Kernel Patch Protection" eingeführt wurden, veröffentlichten die IT-Sicherheitsexperten von Agnitum heute ihre Ergebnisse: Die Microsoft Initiative zur Optimierung der Windows-Sicherheit sei demnach möglicherweise ein Schachzug, um die Nutzung fremder Sicherheitssoftware zu unterbinden. Die Agnitum-Fachleute vertraten außerdem die Meinung, dass die Kernel Patch Protection unabhängigen Softwareherstellern mehr Probleme bereiten werde, ihre Software mit Windows kompatibel zu halten, als dies für Hacker der Fall sein werde – für Hacker sei das nur ein geringfügiges oder kein Hindernis.

Hier ein Überblick über die wichtigsten Ergebnisse der Analyse: Microsoft Kernel Patch Protection hindere Entwickler von Sicherheitssoftware an der Installation von Software auf Kernel-Ebene. Diese Methode sei jedoch für den Schutz vor Malware-Programmen notwendig. Bei bestimmten Versionen des Kernel hindere die Kernel Patch Protection Hacker nicht daran, sich über Reverse Engineering Zugriff auf bestimmte Codebereiche im Betriebssystem zu verschaffen. Wenn ihre Sicherheitssoftware funktionieren soll, müssten sich die unabhängigen Softwareanbieter ähnlicher Methoden bedienen und über Reverse Engineering auf den Betriebssystem-Kernel zugreifen. Auf diese Weise wird es schwieriger, Produkte zu installieren und zu verwalten, die für Windows und Windows-Benutzer mehr Sicherheit bedeuten.

Hersteller müssen Hackermethoden einsetzen

"Als Hersteller von Outpost Firewall Pro müssen wir auf die Kernel-Ebene zugreifen", so Alexey Belkin, Leiter der Softwareentwicklung bei Agnitum. "Als wir uns mit dem Problem beschäftigten, dass Outpost auf den neuen Windows-Versionen möglicherweise nicht mehr läuft, entdeckten wir, dass die neuen Sicherheitsmaßnahmen von Microsoft sehr wohl umgangen werden können – vorausgesetzt, wir arbeiten mit denselben Methoden wie Hacker. Eine riesige Sicherheitslücke, die auch die Hacker entdecken und zur Installation unerlaubter Software nutzen werden."

Die Kernel Patch Protection soll einen besseren Schutz für systemnahe Aktivitäten wie etwa Datei- und Registry-Vorgänge des Windows-Kernel bieten, dem Kern eines Betriebssystems. Jedes Programm, das Zugriff auf den Kernel hat, kann beispielsweise einen Ordner auf der Festplatte verstecken und das Löschen des Ordners mit regulären Windows-Tools unmöglich machen. Da Malware-Programme den Windows-Kernel modifizieren und sich auf diese Weise verbergen, um Daten zu stehlen, benötigen nach Ansicht von Agnitum auch die Entwickler von Sicherheitssoftware Zugriff auf den Kernel, um die PC-Sicherheit zu gewährleisten. Sollten Softwareentwickler gezwungen sein, die gleichen Methoden wie Hacker anzuwenden, seien die Hacker klar im Vorteil: Sie müssten nicht in gleichem Maße in Kompatibilitätstests und Qualitätssicherung investieren wie legale Softwareentwickler.

Sicherheit nur mit Microsoft-Produkten?

"Es ist logisch, dass Microsoft versucht Windows vor Rootkits zu schützen", sagt Mikhail Penkovsky, Vice President des Bereichs Sales und Marketing bei Agnitum. "Doch leider ist dieser Ansatz keine echte Lösung; er macht es unabhängigen Entwicklern von Sicherheitssoftware sehr viel schwerer, die volle Kompatibilität mit Windows zu gewährleisten. Ob Microsoft das beabsichtigt, weiß niemand. Doch der Verdacht drängt sich auf, dass die Anwender gezwungen werden sollen, sich in puncto Windows-Sicherheit ausschließlich auf Microsoft zu verlassen. Wenn man nach den Erfahrungen der Vergangenheit geht, so sind die Sicherheitslösungen anderer Hersteller häufig stabiler und bieten einen besseren Schutz für den Anwender. Der Anwender wird in diesem Fall der Verlierer sein."

In den 64-Bit-Versionen von Windows und bei Windows Vista schirmt die Kernel Patch Protection den Kernel vor legalen Modifizierungen ab. Kein anderer Hersteller von Sicherheitssoftware werde daher Software installieren können, die Kernel-Funktionen über legalen Code nutzt. Für Hacker hingegen werde es ein Leichtes sein, mit weniger legalen Mitteln und Reverse Engineering erfolgreich Rootkits zu entwickeln, prophezeit Agnitum.

Hacker im Vorteil

"Das Problem ist, dass diese halblegalen Methoden nur bei bestimmten Versionen des Windows-Kernel funktionieren", stellt Penkovsky fest. "Wenn unabhängige Softwarehersteller gezwungen sind, mit dieser Methode zu arbeiten, werden sie bei jedem größeren Betriebssystem-Update ihre Installationsverfahren ändern müssen: Ein Alptraum für legale Softwareentwickler – und nur ein geringfügiges bzw. gar kein Problem für Hacker, für die hundertprozentige Kompatibilität kein Thema ist. Verbesserungen von Malware sind viel einfacher zu programmieren als Optimierungen von Sicherheitssoftware."

Neueste Artikel