{"id":233281,"date":"2020-07-10T13:40:52","date_gmt":"2020-07-10T11:40:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=233281"},"modified":"2020-07-10T13:40:52","modified_gmt":"2020-07-10T11:40:52","slug":"windows-kernel-data-protection-kdp-als-malwareschutz","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/07\/10\/windows-kernel-data-protection-kdp-als-malwareschutz\/","title":{"rendered":"Windows Kernel Data Protection (KDP) als Malwareschutz"},"content":{"rendered":"

[English]Microsoft testet gerade eine neue Kernel Data Protection Technologie (KDP) mit Windows 10 Insidern. Diese soll laut Microsoft Malware oder Angreifer hindern, den Speicher des Betriebssystems zu ver\u00e4ndern (zu besch\u00e4digen).<\/p>\n

<\/p>\n

\"\"Es gibt verschiedene Sicherheitstechnologien wie Code Integrity (CI) und Control Flow Guard (CFG), die eine Speicherverf\u00e4lschung verhindern. Bekommen Angreifer dies mit, verlagern diese ihre Taktik erwartungsgem\u00e4\u00df in Richtung Datenverf\u00e4lschung. Die Angreifer setzen dann Datenkorruptionstechniken ein, um die Sicherheitspolitik des Systems ins Visier zu nehmen, Privilegien zu eskalieren, Sicherheitsbescheinigungen zu manipulieren und \"einmal initialisierte\" Datenstrukturen zu modifizieren.<\/p>\n

Kernel Data Protection (KDP) <\/h2>\n

In diesem Techcommunity-Artikel<\/a> stellt Microsoft nun seine Kernel Data Protection (KDP) Technologie vor. Das neue Kernel Data Protection (KDP) soll Datenbesch\u00e4digungsangriffe verhindert, indem es Teile des Windows-Kernels und der Treiber durch virtualisierungsbasierte Sicherheit (VBS) sch\u00fctzt. KDP ist eine Reihe von APIs, die die M\u00f6glichkeit bieten, einen Teil des Kernel-Speichers als schreibgesch\u00fctzt zu markieren. Dadurch werden Angreifer daran gehindert, den gesch\u00fctzten Speicher jemals zu modifizieren. <\/p>\n

Microsoft hat zum Beispiel erlebt, dass Angreifer signierte, aber anf\u00e4llige Treiber verwenden, um Richtliniendatenstrukturen anzugreifen und einen b\u00f6sartigen, unsignierten Treiber zu installieren. KDP mildert solche Angriffe, indem es sicherstellt, dass Richtliniendatenstrukturen im Kernel nicht manipuliert werden k\u00f6nnen.<\/p>\n

Das Konzept, den Kernel-Speicher als schreibgesch\u00fctzt zu sch\u00fctzen, bietet M\u00f6glichkeiten, den Windows-Kernel, Posteingangskomponenten, Sicherheitsprodukte und sogar Treiber von Drittanbietern wie Anti-Cheat- und Digital Rights Management (DRM)-Software zu sch\u00fctzen. Zu den wichtigen Sicherheits- und Manipulationsschutzanwendungen dieser Technologie kommen noch weitere Vorteile hinzu:<\/p>\n