Dazu macht sich der Ansatz zunutze, dass sich die Sicherheitsprogramme mittels sogenannten "Hooks" tief in das System einklinken. Den Forschern zufolge sind von knapp drei Dutzend getesteten AV-Produkten alle für ihren Angriff anfällig.

Der Arbeit mit dem Titel "KHOBE - 8.0 earthquake for Windows desktop security software" zufolge genügt es dabei, Code mit einem Nutzeraccount ohne Privilegien auszuführen. "Ein Angriff wäre demnach durchaus realistisch. Ich bin überzeugt, dass wirklich professionelle Cyberkriminelle sich ansehen werden, wie sie dieses Forschungsergebnis verwerten können", meint Rik Ferguson, Senior Security Advisor bei Trend Micro, gegenüber pressetext.

Einklinken erlaubt Einschleusen

Die Methode der Tschechen nutzt die Hooks aus, die AV-Programmen unter anderem als Schutz gegen Malware-Attacken dienen. Eigentlich kann die Schutzlösung dadurch Softwareanweisungen prüfen, ehe sie tatsächlich zur Ausführung gebracht werden. Die Attacke setzt nun darauf, den Virenschutz erst harmlosen Code scannen zu lassen. Dieser wird danach im genau richtigen Moment durch beliebigen Schadcode ersetzt, der somit vom Betriebssystem ausgeführt wird. Somit wäre die AV-Software letztlich unwirksam.

Das erforderliche exakte Timing werde durch moderne Multicore-Prozessoren erleichtert, so die Forscher. Der Ansatz wurde demnach für Windows XP Sevice Pack 3 und Windows Vista Service Pack 1 erfolgreich getestet, sei aber auch auf Windows 7 und selbst für 64-Bit-Versionen geeignet. Freilich muss für den ersten Angriff irgendwie Schadcode auf dem Rechner ausgeführt werden. "Das könnte aber einfach durch Ausnutzen von Schwachstellen-Exploits geschehen", meint Ferguson.

Alle Anbieter betroffen

Die Tschechen gehen davon aus, dass jede AV-Software für ihren Angriff anfällig ist. In Test haben sie das nach eigenen Angaben für über 30 Produkte diverser Anbieter von AVG über F-Secure, McAfee und Symatec bis hin zu Trend Micro auch nachgewiesen. Für Ferguson zeigt das ein viel grundlegenderes Problem auf. "Bei normalen Endpoint-Security-Architekturen laufen die Schutzlösungen in der gleichen logischen Umgebung wie die Malware, vor der sie schützen soll", erklärt er.

Zukünftige Sicherheitslösungen werden dieses Problem teils gar nicht mehr haben. So verweist Ferguson auf eine Zusammenarbeit von Trend Micro mit dem Virtualisierugsspezialisten VMware an neuen Programmierschnittstellen. "Es wird kein Endpoint-Agent mehr nötig sein. Stattdessen wird Anti-Malware in einer Security Virtual Appliance unter dem Hypervisor laufen", erklärt der Experte. Die Schutzlösung werde also logisch von der zu schützenden Maschine getrennt sein.

Quelle: pressetext.austria Thomas Pichler