Hacker wollen PatchGuard umgehen

CloudEnterpriseProjekteSoftwareSoftware-HerstellerVirtualisierung

Auf Microsofts eigener BlueHat-Hacker-Konferenz soll demonstriert werden, wie sich die Vista-Technologie ‘PatchGuard’ mit einem Rootkit umgehen lässt.

Das Rootkit ‘Vitriol’ setzt auf der Virtualisierungstechnologie von Intel auf. Angeblich soll dieses Rootkit ein Betriebssystem ohne Unterbrechung in der Hardware emulieren können. Anschließend installiert sich Vitriol selbst als Hypervisor. Das Betriebssystem kann damit nicht mehr auf den bösartigen Code zugreifen.

Das bedeutet, dass auch Antiviren-Produkte oder andere Filter, keinen Zugriff mehr auf den Schadcode haben. Auch das umstrittene Feature PatchGuard soll sich so aushebeln lassen.

Tatsächlich aber soll Vitriol PatchGuard, das Veränderungen am Kernel verhindern soll, selbst nicht angreifen. Dadurch aber, dass PatchGuard dann auch in der virtualisierten Instanz als Gastsystem auf dem Rechner läuft, kann auch PatchGuard das Kapern des Systems nicht mehr verhindern.

Auch andere Ansätze nutzen die Virtualisierungs-Vorbereitungen in den Chips von AMD und Intel. So hat vor wenigen Monaten die Sicherheitsforscherin Joanna Rutkowska ein Rootkit vorgestellt, dass absolut nicht entdeckt werden kann. Rutkowska übernimmt auf der Basis der Virutalisierung AMD V, Code-Name Pacifica, und einer Hypervisor-Schicht, die Kontrolle über das gesamte Betriebssystem.