Vista: "Hack"-Tool geblockt, Kernelschutz zwecklos?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von A-kumar, 4. August 2007 .

Schlagworte:
  1. 4. August 2007
    Vor einigen Tagen wurde ein Treiber namens "Atsiv" vorgestellt, der Angreifern als Werkzeug zum Laden von schädlichem Code in den Systemkernel von Windows Vista dienen kann. Der Treiber selbst ist von Microsoft für die 64-Bit-Version von Windows Vista zertifiziert worden.

    Die Zertifizierung ist nötig, um überhaupt auf den Kernel von Vista x64 zugreifen zu können, der normalerweise von der auch in der 64-Bit-Version von Windows Server 2003 enthaltenen PatchGuard-Technologie geschützt wird. Atsiv wurde entwickelt, um auch unsignierten Code in Vista auf Kernelebene ausführen zu können.

    Dabei kann es sich zum Beispiel um Hardware-Treiber handeln, doch Microsoft betrachtet die Software auch als möglichen Türöffner für Schadcode. Um einer möglichen Gefährdung seiner Kunden entgegenzutreten, hat man deshalb beschlossen, Atsiv die Zertifizierung zu entziehen und die Software als Schadprogramm einzustufen.

    Die Installation von Atsiv setzt zwar Administratorrechte voraus, weshalb Microsoft davon ausgeht, dass der Funktion des Tools keine Sicherheitslücke zugrunde liegt, doch weil der damit geladene Code vom System selbst nicht auf seine Sicherheit geprüft werden kann, stuft man das Programm als Sicherheitsrisiko ein.

    Hintergrund ist, dass Atsiv gegen die Regelung für die Code-Signierung unter Vista x64 verstößt. So kann Atsiv verwendet werden, um die Identität des Autors des damit geladenen Programmcodes zu verstecken, was nicht zugelassen ist.

    Quelle: winfuture.de
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.