Security

Tschechische Forscher meinen

Alle Antiviren-Programme sind leicht zu knacken

11.05.2010
Von 
Armin Weiler kümmert sich um die rechercheintensiven Geschichten rund um den ITK-Channel und um die Themen der Distribution. Zudem ist er für den Bereich PCs und Peripherie zuständig. Zu seinen Spezialgebieten zählen daher Notebooks, PCs, Smartphones, Drucker, Displays und Eingabegeräte. Bei der inoffiziellen deutschen IT-Skimeisterschaft "CP Race" ist er für die Rennleitung verantwortlich.
Alle Artikel des Autors
Email: Connect:
Ein Team tschechischer IT-Sicherheitsforscher hat nach eigenen Angaben eine Angriffsmethode gefunden, welche die Antiviren-Industrie erschüttern wird. Denn jede aktuelle AV-Software unter Windows könne weitgehend ausgehebelt werden. Dazu macht sich der Ansatz zunutze, dass sich die Sicherheitsprogramme mittels sogenannten "Hooks" tief in das System einklinken. Den Forschern zufolge sind von knapp drei Dutzend getesteten AV-Produkten alle für ihren Angriff anfällig.

Ein Team tschechischer IT-Sicherheitsforscher hat nach eigenen Angaben eine Angriffsmethode gefunden, welche die Antiviren-Industrie erschüttern wird. Denn jede aktuelle AV-Software unter Windows könne weitgehend ausgehebelt werden. Dazu macht sich der Ansatz zunutze, dass sich die Sicherheitsprogramme mittels sogenannten "Hooks" tief in das System einklinken. Den Forschern zufolge sind von knapp drei Dutzend getesteten Antiviren-Produkten (AV) alle für ihren Angriff anfällig.

Der Arbeit mit dem Titel "KHOBE - 8.0 earthquake for Windows desktop security software" zufolge genügt es dabei, Code mit einem Nutzer-Account ohne Privilegien auszuführen. "Ein Angriff wäre demnach durchaus realistisch. Ich bin überzeugt, dass wirklich professionelle Cyberkriminelle sich ansehen werden, wie sie dieses Forschungsergebnis verwerten können", meint Rik Ferguson, Senior Security Advisor bei Trend Micro.

Einklinken erlaubt Einschleusen

Die Methode der Tschechen nutzt die Hooks aus, die AV-Programmen unter anderem als Schutz gegen Malware-Attacken dienen. Eigentlich kann die Schutzlösung dadurch Softwareanweisungen prüfen, ehe sie tatsächlich zur Ausführung gebracht werden. Die Attacke setzt nun darauf, den Virenschutz erst harmlosen Code scannen zu lassen. Dieser wird danach im genau richtigen Moment durch beliebigen Schadcode ersetzt, der somit vom Betriebssystem ausgeführt wird. Somit wäre die AV-Software letztlich unwirksam.

Das erforderliche exakte Timing werde durch moderne Multicore-Prozessoren erleichtert, so die Forscher. Der Ansatz wurde demnach für Windows XP Sevice Pack 3 und Windows Vista Service Pack 1 erfolgreich getestet, sei aber auch auf Windows 7 und selbst für 64-Bit-Versionen geeignet. Freilich muss für den ersten Angriff irgendwie Schadcode auf dem Rechner ausgeführt werden. "Das könnte aber einfach durch Ausnutzen von Schwachstellen-Exploits geschehen", meint Ferguson.

Wie Sie Ihre Kunden wirksam vor Gefahren aus dem Internet schützen können, das erfahren Sie am 18. Mai 2010 in München, auf dem Channel-Sales-Day Security.

Zur Startseite