![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\")
Ein in allen, die letzten 17 Jahre herausgegebenen Windows-Versionen enthaltener Bug im Kernel kann (m\u00f6glicherweise) ausgenutzt werden, um Sicherheitssoftware (Antivirus-Software) auszutricksen. Diese erkennt dann schlicht keine Malware mehr, weil sie \u00fcber die falschen Dateien informiert wird. Microsoft sieht aber keine Sicherheitsl\u00fccke.<\/p>\n
<\/p>\n
Das Problem: Nach einer Registrierung einer Benachrichtigungsroutine f\u00fcr (im Kernel) geladene PE-Images kann die Benachrichtigungsroutine ung\u00fcltige Namen f\u00fcr die Image-Dateien an die Callback-Funktion zur\u00fcck geben. Bei der Analyse stellte sich heraus, dass das scheinbar zuf\u00e4llige Problem von einem Codierungsfehler im Windows-Kernel selbst herr\u00fchrt. <\/p>\n Die Callback-Funktion liefert manchmal einen Pfad ohne die Volume-Bezeichnung zur\u00fcck. Manchmal ist der Pfad auch komplett kaputt \u2013 und es kann Szenarien geben, wo der Pfad zuf\u00e4llig auf andere, existierende oder fehlende Dateien, verweist, wie die Sicherheitsforscher schreiben. Dieser Fehler existiert seit Windows 2000 und setzt sich bis zur neuesten Version von Windows 10 fort. <\/p>\n Microsoft hat die PsSetLoadImageNotifyRoutine<\/em>-Callback-Funktion urspr\u00fcnglich eingef\u00fchrt, um Anwendungsentwicklern eine M\u00f6glichkeit zu geben, um \u00fcber neu registrierte Treiber informiert zu werden. Da das System auch erkennen konnte, wenn ein PE-Abbild in den virtuellen Speicher geladen wurde, wurde der Mechanismus auch in Antivirensoftware integriert, um einige Arten von b\u00f6swilligen Aktionen zu erkennen.<\/p>\n Im Blog-Beitrag gehen die Sicherheitsforscher auf die weiteren Details ein. Sie weisen auch darauf hin, dass Microsoft die Verwendung der Filesystem Mini-Filter Callback-Methode (IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION) zum Pr\u00fcfen empfiehlt. In der Microsoft-Dokumentation habe man aber diverse Fehler gefunden. So schreibt Microsoft zwar, dass der R\u00fcckgabewert NULL sein k\u00f6nne. Wenn ein Wert ungleich NULL geliefert werde, bedeute dies, dass der Kernel den Namen der Image-Datei identifiziert habe (was wohl nicht immer stimmt). <\/p>\n Die Analysen in obigem Blog-Beitrag sind nur etwas f\u00fcr Hardcore-Entwickler, so ganz durchgestiegen bin ich beim Querlesen nicht. Bei Bleeping Computer hat man diese Geschichte aufgegriffen<\/a> und schreibt, dass der Entdecker der L\u00fccke, Omri Misgav, nicht getestet habe, ob Sicherheitssoftware dadurch in die Irre geleitet wird. Es k\u00f6nnte sich also um ein theoretisches Szenario handeln. Misgav hat Bleeping Computer aber per E-Mail mitgeteilt: <\/p>\n \"We are aware that some vendors do use this mechanism, however at this point in time we cannot say if and how the use of the faulty [PsSetLoadImageNotifyRoutine] information affects them.\"<\/p>\n<\/blockquote>\n Es gibt wohl Anbieter, die genau diesen Mechanismus verwenden, wobei die Konsequenzen unklar bleiben. Unsch\u00f6n ist es auf jeden Fall. Omri Misgav schrieb in der E-Mail an Bleeping Computer, dass man Microsoft bzw. deren MSRC [Microsoft Security Response Center] \u00fcber das Problem Anfang des Jahres informiert habe. Das MSRC sieht aber kein Sicherheitsproblem. Der Fehler d\u00fcrfte also ungepatcht bleiben. <\/p>\n \u00c4hnliche Artikel:<\/strong> Ein in allen, die letzten 17 Jahre herausgegebenen Windows-Versionen enthaltener Bug im Kernel kann (m\u00f6glicherweise) ausgenutzt werden, um Sicherheitssoftware (Antivirus-Software) auszutricksen. Diese erkennt dann schlicht keine Malware mehr, weil sie \u00fcber die falschen Dateien informiert wird. Microsoft sieht aber keine … Weiterlesen Das Ganze wurde von Sicherheitsforschern der Firma enSilo entdeckt und in diesem Blog-Beitrag von Breaking Malware beschrieben. Bei der Analyse des Windows-Kernel stie\u00dfen die Spezialisten um Omri Misgav auf ein Problem mit der PsSetLoadImageNotifyRoutine<\/em> API-Funktion. Diese informiert, wenn Module geladen werden. <\/p>\n
Problem: Falsche Dateinamen werden gemeldet<\/h2>\n
Sinn der Funktion und Nutzung<\/h2>\n
Microsoft sieht kein Sicherheitsproblem<\/h2>\n
\n
Windows: GhostHack umgeht PatchGuard Protection<\/a>
Update KB890830 (Windows Malicious Removal Tool) macht Probleme<\/a>
Intel Management Engine (ME) abschalten<\/a>
Platinum-Hackergruppe greift Systeme \u00fcber Intel AMT an<\/a>
Neue Details zu Intels AMT\/ME Sicherheitsl\u00fccken<\/a>
Kritischer Bug in Intel Plattformen, Patch f\u00fcr Exploit verf\u00fcgbar<\/a>
Microsoft erkl\u00e4rt die Schutzmechanismen in Windows 10<\/a>
Microsoft erkl\u00e4rt sein Windows 10 Antivirus-Eco-System<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"