Das Sicherheitsunternehmen Bromium Labs hat einen Weg gefunden, einen alten Windows-Kernel-Exploit zu verwenden, um gängige Anti-Malware- und andere Sicherheitssoftware zu umgehen.

Die als Layer-on-Layer-Attacken (LOL) bekannte Methode ermöglicht es Hackern, mehrere Sicherheitsebenen auf einen Schlag zu umgehen, ohne dass jemand schlauer wäre.

Die Technik betrifft Anwendungs-Sandboxen, Antiviren-Software, Rootkit-Detektoren, hostbasierte Intrusion Prevention-Systeme (HIPS), Enhanced Mitigation Experience Toolkit (EMET) und Supervisor Mode Execution Prevention (SMEP), auch wenn sie aufeinander gestapelt sind. Der Exploit wird sie entweder deaktivieren oder vollständig umgehen.

Der Angriff nutzt die EPATHOBJ Windows-Kernel-Schwachstelle aus, die im letzten Jahr entdeckt und weitgehend ignoriert wurde.

Durch das Ausnutzen der Sicherheitsanfälligkeit haben Hacker-Systemprivilegien die Möglichkeit, die Sicherheit zu deaktivieren oder auf andere Weise zu stören. Malware kann dann frei ausgeführt werden. Schlimmer noch, der Hacker bleibt unbemerkt.

Kernel-Integrität

Bromium wird seine Ergebnisse auf der Infosecurity Europe und der BSides London präsentieren und demonstrieren, wie der Exploit funktioniert.

Das Unternehmen gibt an, dass selbst vielschichtige Sicherheitsansätze, die von vielen Top-Sicherheitsfachleuten befürwortet werden, Schwächen aufweisen. Es besagt, dass praktisch alle Endpoint-Technologien von der Integrität des Kernels abhängen.

"Während viele von der Entdeckung des TDL4-Rootkits wussten, das angeblich Ende letzten Jahres Kernel-Exploit-Code verwenden sollte, wurde ihm kaum Beachtung geschenkt. Das war ein großer Fehlentscheidungsfehler", sagte Sicherheitschef Rahul Kashyap Forschung bei Bromium.

"Wir diskutieren, dass solche Sicherheitslücken für die Unternehmenssicherheit tödlich sein können und wahrscheinlich für lange Zeit unbemerkt bleiben. Indem wir den Exploit einfach optimieren, konnten wir feststellen, dass wir alle verschiedenen Schichten von Sicherheitssoftware umgehen könnten, die ein Unternehmen auf einem System bereitstellen könnte Endbenutzer-Maschine. "

Bromium geht davon aus, dass in den Millionen Codezeilen im Windows-Kernel viele weitere Zero-Day-Schwachstellen bestehen.

  • So sichern Sie Windows 8