Experte: DRM-Funktion in Vista - perfektes Versteck für Malware

Der Sicherheitsexperte Aleksander Czarnowski von AVET Information and Network Security hat Bedenken gegenüber einer in Windows Vista integrierten DRM-Funktion geäußert. Diese könne es Malware-Autoren theoretisch ermöglichen, bösartigen Code vor dem Zugriff von Antiviren-Software zu schützen.

Windows Vista wird mit den sogenannten "geschützten Prozessen" eine neue DRM-Funktion enthalten, die dafür gedacht ist, geschützte Inhalte wie beispielsweise Musikdateien in einer Umgebung wiederzugeben, auf die der Anwender keinen Einfluss hat. Rechteinhaber können so festlegen, was der Nutzer mit den jeweiligen Inhalten überhaupt anstellen können soll und was nicht. Genau diese "geschützten Prozesse" könnten sich jedoch als wahres Eldorado für Malware-Autoren entpuppen, da sich in ihnen bösartiger Code perfekt vor dem Zugriff durch Antiviren-Lösungen schützen lässt. Darauf weist der Sicherheitsexperte Aleksander Czarnowski von AVET Information and Network Security hin.

Vereinfacht gesagt handelt es sich bei den "geschützten Prozessen" um eine Art Konstrukt, das parallel zu anderen Prozessen oder simultan ausgeführten Programminstanzen läuft. Standardprozesse können von übergeordneten Prozessen beziehungsweise von speziell angelegten Prozessen, die Anwender erstellen können, manipuliert werden, was das Risiko der Piraterie erhöht. Die neuen "geschützten Prozesse" in Vista müssen hingegen signiert sein. Sie unterbinden zudem die Interaktion mit Standardprozessen. Es ist also beispielsweise nicht möglich, dass ein Standardprozess einen Thread in einen "geschützten Prozess" injiziert oder Zugriff auf den virtuellen Speicher zu erhalten, der von dem "geschützten Prozess" genutzt wird, so Microsoft.

Eine derartige Konstruktion erlaubt die Kontrolle über die Distribution und den Zugang zu geschützten Mediainhalten wie Filmen oder Musik. Rechteinhaber können dann die Nutzungsbedingungen festlegen. Derartige Prozesse können aber auch nicht von Antivirenlösungen unter die Lupe genommen werden, warnt nun Czarnowski. "Geschützt Prozesse sind von anderen Applikationen isoliert, selbst bei Administrator-Rechten", so der Experte.

Laut Czarnowski könnte eine Ausnutzung dieses Systems durch Malware-Autoren dazu führen, dass bösartiger Code die Kontrolle über "geschützte Prozesse" übernimmt, diese für die Modifizierung von Speicheradressen ausnutzt und weitere Änderungen am System vornimmt, ohne dass dies von Antiviren-Lösungen und anderen Sicherheitstechniken entdeckt werden könnte.

"Ich denke nicht, dass sich irgendjemand bei diesem DRM-Rennen Gedanken über die Konsequenzen gemacht hat, wenn diese Möglichkeit in die falschen Hände gerät", so Czarnowski. "Geschützte Prozesse sind eine Waffe und - wie mit jeder Waffe - es hängt alles davon ab, wie sie genutzt wird." (PC-Welt/mja)

Des Weiteren ist sich der Experte sicher, dass Patchguard, Vistas Schutztechnologie für den Kernel, eines der großen Angriffsziele für Malware-Autoren werden wird. Er geht davon aus, dass es innerhalb eines Jahres nach Veröffentlichung von Vista - eventuell auch schon früher - Techniken geben werde, die den Kernel-Schutz aushebeln werden.