Drucken
11.05.2010, 09:38 Uhr
Symbolbild Alarmzeichen. (Quelle: t-online.de)
Mit einer neuen Angriffsmethode ist es einem Team tschechischer Sicherheitsexperten gelungen, beinahe jede Antiviren-Software auszuhebeln. Dabei machten sich die Forscher genau die Technik zu Nutze, mit der die Schutzprogramme eigentlich die Ausführung von Computerviren und Trojanern verhindern sollen. Erst ein brandneuer Ansatz in der Antiviren-Technologie soll den Angriff stoppen können. Die Experten hoffen, mit der Veröffentlichung ihres Forschungspapiers die Entwicklung dieser neuen, sicheren Sicherheitsprogramme zu beschleunigen.
Die Forschungsgruppe matousec.com ist ein Projekt des Internet-Sicherheitsunternehmens Difinex und hat sich auf das Aufspüren neuer, gefährlicher Angriffsvektoren spezialisiert. In ihrer aktuellen Arbeit haben die tschechischen Forscher gezeigt, dass für ihre Angriffsmethode nicht einmal ein Zugriff auf den Computer mit Administrator-Rechten nötig ist. Auch von einem Nutzerkonto mit eingeschränkten Rechten lässt sich Code ausführen, der sämtliche Sicherheitsschranken umgeht. "Ein Angriff wäre demnach durchaus realistisch. Ich bin überzeugt, dass wirklich professionelle Cyberkriminelle sich ansehen werden, wie sie dieses Forschungsergebnis verwerten können", meint Rik Ferguson, Senior Security Advisor bei Trend Micro, gegenüber dem Branchendienst pressetext.
Die Methode der tschechischen Forscher nutzt dabei die so genannten "Hooks", mit denen sich Anti-Viren-Programme tief im Betriebssystem verankern und die Ausführung von Malware verhindern sollen. Diese Fühler im System überprüfen jeden Code vor seiner Ausführung. Erst wenn sie ihn für unbedenklich halten, erlauben sie ihm, seine Arbeit aufzunehmen. Den tschechischen Forschern ist es nun gelungen, schadhaften Code vor dieser für unbestechlich gehaltenen Erkennungsmethode zu tarnen. Vereinfacht gesagt lässt das Schadprogramm den Viren-Detektor erst harmlosen Code scannen. Hat der die Erlaubnis zur Ausführung erhalten, ersetzt die Malware ihn durch den eigentlichen Schadcode.
Das erforderliche exakte Timing werde durch moderne Multicore-Prozessoren erleichtert, so die Forscher. Der Angriff sei erfolgreich für Windows XP Sevice Pack 3 und Windows Vista Service Pack 1 getestet worden, sei aber auch für Angriffe auf Windows 7 und selbst auf 64-Bit-Versionen geeignet. Zwar müsse für den ersten Angriff die Malware erst einmal auf den attackierten Rechner gelangen. Dies könne jedoch über das Ausnutzen klassischer Software-Schwachstellen in Browser, Betriebssystem oder anderer Software auf dem Computer gelingen. Das eigentlich Neue an der Angriffsmethode ist, dass nach dem ersten Eindringen der Malware kein Sicherheitsprogramm mehr etwas gegen sie ausrichten kann.
Eine neue Generation von Sicherheitssoftware könne nach Aussage der Forscher gegen den Angriff immun sein, weil sie in einer vom restlichen System getrennten Umgebung laufe. Diese logische Trennung zwischen Virenscanner und System könnte das Austauschen von harmlosem gegen schadhaften Code unmöglich machen. Die Forscher hoffen, die Entwicklung dieser neuen Generation von Antiv-Viren-Software mit ihren Ergebnissen voranzubringen. Das könnte auch dringend nötig sein: Zwar veröffentlichten die Forscher wie in Sicherheitskreisen üblich keine Details ihres Angriffs, es dürfte jedoch nur eine Frage der Zeit sein, bis Online-Kriminelle versuchen, einen eigenen Angriff auf der Basis der Erkenntnisse der Forschungsgruppe zu entwickeln. Anwender sollten deshalb darauf achten, ihre Software auf dem neuesten Stand zu halten und Sicherheits-Patches zügig zu installieren. Denn ohne eine Schwachstelle gelingt Schadcode auch mit der neuen Methode kein Eindringen in das System.
Matousec hat die betroffenen Hersteller von Anti-Viren-Software bereits von der Schwachstelle informiert. Die bestätigen nach Informationen von Heise das grundsätzliche Problem, halten einen konkreten Angriff durch Online-Kriminelle unter Ausnutzung der Matousec-Methode jedoch für unwahrscheinlich. So sei einer Stellungnahme McAfees zu Folge das richtige Timing beim Wechsel zwischen harmlosem und schadhaftem Code deutlich schwieriger als von den tschechischen Forschern behauptet. Auch F-Secure misst den Erkenntnissen der Forscher nur eine grundsätzliche Bedeutung bei. Eine unmittelbare Gefahr bestehe jedoch nicht.
(4)
Computerman schrieb:
am 15. Mai 2010 um 17:23:30
(0) 
(0)
TIP: Sicherheit nur mit Gastkonto
Nur mit dem Gastkonto kann man das WWW benutzen. Alles andere ist schwachsinn. Hintertüren wie JAVA,FLASH
und Co. sind immer vorhanden und kann man nur abstellen wenn es ein Interresse geben würde.
mehr
Kommentar melden
Doris schrieb:
am 11. Mai 2010 um 21:17:50
(0) (0)
PC-Sicherheit
Genau so ist es.
Kommentar melden
Erich schrieb:
am 11. Mai 2010 um 21:16:59
(0) (0)
Sicherheit im PC
Ich bin auch der Meinung das man so etwas nur an die Sicherheitsfirmen weiterleiten sollte.
Den Hackern muß das Handwerk
zumindest deutlich erschwert werden, das gesamt Interent würde ja davon profitieren.
Wenn das so weitergeht, dann braucht man in 20 Jahren ja einen Virenscanner für den Nachttopf ... ggg
mehr
Kommentar melden
Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
Die neue Frühlingskollektion von Topmarken: tolle Schuhe, Mode u.v.m. - Versand gratis. mehr
Extravagante und schicke Damen-
mode für die neue Saison: jetzt online bestellen. von WENZ
Tolle Kurven perfekt in Szene gesetzt: zauberhafte Damenmode bis Größe 60. zum XXL-Special
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
Neues Oberklassen-Smartphone mit 4,7-Zoll-Display. zum Video
