AV-Hersteller: KHOBE-Lücke ist nicht das Ende der Anti-Viren-Programme Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


14.05.2010 Moritz Jäger*

AV-Hersteller: KHOBE-Lücke ist nicht das Ende der Anti-Viren-Programme

Die von Matousec präsentiert KHOBE-Attacke klingt wie das Ende der Anti-Viren-Industrie. Diese allerdings wehrt ab: Zwar würde eine Schutzfunktion ausgehebelt, moderne AV-Software nutzt aber mehrere Ansätze, eine Infektion ist deshalb auch nach einem KHOBE-Angriff unwahrscheinlich.

Verschiedene Hersteller von Anti-Viren-Programmen haben sich zur entdeckten Sicherheitslücke von Matousec geäußert. Die Forscher der Firma hatten ein Proof of Concept veröffentlicht, demnach der Virenschutz der meisten Programme über einen Kernel Hook ausgehebelt werden kann.

Keiner der AV-Hersteller bestreitet die Existenz der Lücke, die Auswirkungen seien aber weniger dramatisch als Matousec angibt. Mikko Hyppönnen von F-Secure teilt im F-Secure Blog mit, dass ein KHOBE-Angriff eine Anti-Viren-Software nicht komplett ausschaltet. Zwar würde die Attacke eine Sicherheitsfunktion umgehen, moderne IT-Sicherheitsprogramme seien aber so ausgelegt, dass sich Schutzfunktionen sich gegenseitig überlappen.

Ähnlich äußern sich Sprecher von Kaspersky. Die SSDT-Kernel-Hooks werden zwar auch hier genutzt, andere Funktionen, etwa die Sandbox-Umgebung wäre von so einer Attacke nicht betroffen.

Graham Cluley von Sophos erklärt, dass die Malware selbst diesen Angriff nur ausführen kann, wenn sie nicht bereits zuvor an der Sicherheitssoftware vorbeigemogelt hat. Sein Kollege Paul Ducklin hat sich noch weiter mit der KHOBE-Attacke auseinandergesetzt und erläutert seine Erkenntnisse <a href=http://www.sophos.com/blogs/duck/g/2010/05/11/khobe-vulnerability-earth-shaker/ target=newin diesem Blogeintrag. Sophos-Software sei demnach nur betroffen, wenn die Host Intrusion Prevention eingesetzt werde und auf dem Zielsystem Windows XP installiert ist.

Symantec sieht in der Veröffentlichung zwar ebenfalls ein Problem, allerdings springen auch hier weitere Sicherheitsfunktionen ein. Neben dem Intrusion Prevention System wird auch ein Cloud-basiertes Reputationssystem genutzt, um solche Attacken abzublocken.

* Moritz Jäger ist Redakteur des deutschen Tecchannel.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr

Hosted by:    Security Monitoring by: