Reaktionen auf Matousec-Veröffentlichung

AV-Hersteller: KHOBE-Lücke ist nicht das Ende der Anti-Viren-Programme

Die von Matousec präsentiert KHOBE-Attacke klingt wie das Ende der Anti-Viren-Industrie. Diese allerdings wehrt ab: Zwar würde eine Schutzfunktion ausgehebelt, moderne AV-Software nutzt aber mehrere Ansätze, eine Infektion ist deshalb auch nach einem KHOBE-Angriff unwahrscheinlich.

Verschiedene Hersteller von Anti-Viren-Programmen haben sich zur entdeckten Sicherheitslücke von Matousec geäußert. Die Forscher der Firma hatten ein Proof of Concept veröffentlicht, demnach der Virenschutz der meisten Programme über einen Kernel Hook ausgehebelt werden kann.

Keiner der AV-Hersteller bestreitet die Existenz der Lücke, die Auswirkungen seien aber weniger dramatisch als Matousec angibt. Mikko Hyppönnen von F-Secure teilt im F-Secure Blog mit, dass ein KHOBE-Angriff eine Anti-Viren-Software nicht komplett ausschaltet. Zwar würde die Attacke eine Sicherheitsfunktion umgehen, moderne IT-Sicherheitsprogramme seien aber so ausgelegt, dass sich Schutzfunktionen sich gegenseitig überlappen.

Ähnlich äußern sich Sprecher von Kaspersky gegenüber TecChannel. Die SSDT-Kernel-Hooks werden zwar auch hier genutzt, andere Funktionen, etwa die Sandbox-Umgebung wäre von so einer Attacke nicht betroffen.

Graham Cluley von Sophos erklärt, dass die Malware selbst diesen Angriff nur ausführen kann, wenn sie nicht bereits zuvor an der Sicherheitssoftware vorbeigemogelt hat. Sein Kollege Paul Ducklin hat sich noch weiter mit der KHOBE-Attacke auseinandergesetzt und erläutert seine Erkenntnisse in diesem Blogeintrag. Sophos-Software sei demnach nur betroffen, wenn die Host Intrusion Prevention eingesetzt werde und auf dem Zielsystem Windows XP installiert ist.

Update: Symantec sieht in der Veröffentlichung zwar ebenfalls ein Problem, allerdings springen auch hier weitere Sicherheitsfunktionen ein. Neben dem Intrusion Prevention System wird auch ein Cloud-basiertes Reputationssystem genutzt, um solche Attacken abzublocken. (mja)