Joanna Rutkowska, Sicherheitsforscherin bei der in Singapur ansässigen Security-Firma Coseinc, hat eine Methode gefunden, wie sich die Schutzmechanismen im Vista-Kernel umgehen lassen. So gelang es der Expertin, unsignierten Code in den Kernel zu laden, obwohl die 64-Bit-Version des kommenden Microsoft-Betriebssystems lediglich signierte Treiber akzeptieren soll. Dass sich die Signatur-Prüfung für Gerätetreiber, die das Laden von Malware verhindern soll, außer Gefecht setzten lässt, bedeute allerdings nicht, dass Vista komplett unsicher sei, so Rutkowska. "Es ist nur nicht so sicher, wie versprochen." Es sei grundsätzlich schwierig, einen hundertprozentig effektiven Kernel-Schutz in ein Allzweck-Betriebssystem zu implementieren.

Darüber hinaus präsentierte die Spezialistin ihr bereits im Vorfeld der Konferenz angekündigtes Rootkit namens "Blue Pill", die AMDs Virtualisierungstechnik "Secure Virtual Machine" nutzt, um Schadroutinen zu verstecken und darauf folgende Systemangriffe zu verbergen. Bislang gäbe es noch keine Möglichkeit, das Rootkit aufzuspüren, so Rutkowska. Obwohl für Vista entwickelt, lasse sich die blaue Pille durchaus auch auf andere Plattformen portieren.

Microsoft erachtet die Forschungsergebnisse der Expertin als "legitim". Was Rutkowska gezeigt habe, stelle eine echte Bedrohung dar, so Austin Wilson, Director der Windows Client Group bei Microsoft. Allerdings erfordere etwa das Umgehen der Code-Signierung in Vista Administratorenrechte, während ein Standardnutzer hier nichts bewirken könne. Microsoft werde sich der Sache annehmen, die Markteinführung des Betriebssystems deshalb aber nicht verschieben, stellte Wilson klar. Im Hinblick auf das Virtual-Machine-Rootkit versicherte er, Microsoft werde gemeinsam mit Intel und AMD nach Lösungen suchen, die derartige Angriffe bis zur endgültigen Version des Betriebssystems ausschließen. (kf)