Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Bug im Windows-Kernel könnte durch Schadcode missbraucht werden

11.09.2017

 zur Newsdatenbank home

Die Malware-Erkennungsmechanismen von Sicherheitssoftware können unter bestimmten Umständen durch ein vermutlich bereits seit fast 20 Jahren vorhandener Windows-Kernel-Bug ausgehebelt werden. Der Sicherheitsforscher Omri Misgav entdeckte diesen während einer Analyse des Windows-Kernels.

In der API-Funktion PsSetLoadImageNotifyRoutine, die ursprünglich entwickelt wurde, um Kernelmode-Treiber per Callback immer dann zu informieren, wenn andere Anwendungen, Treiber oder DLLs im User Mode gestartet werden, befindet sich der Fehler.

Die Callback-Funktion von PsSetLoadImageNotifyRoutine soll eigentlich Namen und Pfad der neu geladenen Komponente zurückliefern, wie Misgav in einem Blogeintrag beschreibt. Allerdings fehle in den Rückgabewerten in der Praxis häufig die Laufwerksbezeichnung, oder sie beinhalteten missgestaltete Pfade, die gar nicht auf die richtige Komponente verwiesen. Als Auslöser fand er über einen Kernel-Debugger einen Codierungsfehler in der Verarbeitung und Zwischenspeicherung der Komponentenbezeichnung.

Einige AV-Hersteller nutzen laut dem Nachrichtenportal Bleepingcomputer die PsSetLoadImageNotifyRoutine-Funktion in ihren Produkten, um zeitnah auf die Ausführung von Schadcode reagieren zu können. Dass neu in den RAM geladene Malware nicht lokalisiert werden kann, könnte der Bug hierbei zur Folge haben. Misgav könne nicht sagen, ob und inwieweit dies in der Praxis tatsächlich Einfluss auf die Erkennung habe, betonte er gegenüber Bleepingcomputer.

Unter Windows XP mit SP3, x64-Windows 7 mit SP1 sowie mit der x86- und x64-Version von Windows 10 samt aktueller Updates konnte der Sicherheitsforscher den Bug eigenen Angaben zufolge reproduzieren und geht davon aus, dass der Fehler schon seit der Einführung von Windows 2000 vorhanden ist. Über seinen Fund habe Misgav das MSRC (Microsoft Security Response Center) bereits Anfang dieses Jahres informiert, wie er gegenüber Bleepingcomputer mitteilte. Allerdings hätten die zuständigen Mitarbeiter diesen Bug jedoch nicht als Sicherheitsproblem betrachtet.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89