Reaktionen auf Matousec-Veröffentlichung
AV-Hersteller: KHOBE-Lücke ist nicht das Ende der Anti-Viren-Programme
Verschiedene Hersteller von Anti-Viren-Programmen haben sich zur entdeckten Sicherheitslücke von Matousec geäußert. Die Forscher der Firma hatten ein Proof of Concept veröffentlicht, demnach der Virenschutz der meisten Programme über einen Kernel Hook ausgehebelt werden kann.
Keiner der AV-Hersteller bestreitet die Existenz der Lücke, die Auswirkungen seien aber weniger dramatisch als Matousec angibt. Mikko Hyppönnen von F-Secure teilt im F-Secure Blog mit, dass ein KHOBE-Angriff eine Anti-Viren-Software nicht komplett ausschaltet. Zwar würde die Attacke eine Sicherheitsfunktion umgehen, moderne IT-Sicherheitsprogramme seien aber so ausgelegt, dass sich Schutzfunktionen sich gegenseitig überlappen.
Ähnlich äußern sich Sprecher von Kaspersky gegenüber TecChannel. Die SSDT-Kernel-Hooks werden zwar auch hier genutzt, andere Funktionen, etwa die Sandbox-Umgebung wäre von so einer Attacke nicht betroffen.
Graham Cluley von Sophos erklärt, dass die Malware selbst diesen Angriff nur ausführen kann, wenn sie nicht bereits zuvor an der Sicherheitssoftware vorbeigemogelt hat. Sein Kollege Paul Ducklin hat sich noch weiter mit der KHOBE-Attacke auseinandergesetzt und erläutert seine Erkenntnisse in diesem Blogeintrag. Sophos-Software sei demnach nur betroffen, wenn die Host Intrusion Prevention eingesetzt werde und auf dem Zielsystem Windows XP installiert ist.
Update: Symantec sieht in der Veröffentlichung zwar ebenfalls ein Problem, allerdings springen auch hier weitere Sicherheitsfunktionen ein. Neben dem Intrusion Prevention System wird auch ein Cloud-basiertes Reputationssystem genutzt, um solche Attacken abzublocken. (mja)
- Avira Antivir
Scannen und überwachen - AVG Anti-Virus
Viren- und Malware-Wächter - Hitman Pro
Windows gegen Malware-Befall fit machen - McAfee AVERT Stinger
Schädlingen sicher entfernen - Spybot - Search and Destroy
Trojaner und Spyware unschädlich machen - Ad-Aware
Kammerjäger für das System - XP AntiSpy
Regeln, was Windows darf - TrueCrypt
Persönliche Dokumente chiffriert wegsperren - Sandboxie
Sicherheits-Zone für Windows XP - OpenVPN
Daten per VPN übertragen - Safe XP
Für die Sicherheit relevante XP-Optionen konfigurieren - ClickCrypt
Einfach-Krypter ohne Schnickschnack - Comodo Firewall Pro
Desktop-Firewall für Profis - Backup Maker
Sichert weitgehend automatisch - MozBackup
Sichern und retten - Disk Cleaner
Entfernt unnötige Dateien nachhaltig