IT-Expertin knackt Windows Vista

Black hat
07.08.2006

Nachdem Software-Hersteller Microsoft letzte Woche internationale IT-Experten aufgerufen hatte, Windows Vista auf Herz und Nieren zu testen, wurde auch prompt die erste Sicherheitslücke entdeckt.

Die Sicherheitsexpertin des Singapurer Security-Unternehmens Coseinc, Joanna Rutkowska, veranschaulichte letzte Woche bei den Black Hat Briefings in Las Vegas, dass Windows Vista Sicherheitslücken aufweist. Die IT-Fachfrau demonstrierte, wie es Angreifern möglich wäre, schädliche Codes in Vista einzuschleusen und die Kontrolle über das System zu erlangen.

"Microsoft hat guten Job gemacht"

Rutkowskas Demonstration zeigte, wie ein Angreifer den Vista-Signaturcheck in der 64-Bit-Version deaktivieren und so ungeprüfte Treiber auf das System laden könnte. Auf diese Weise eingeschmuggelte Treiber können schädliche Codes enthalten, die Vista dann ausführt.

Rutkowskas Methode setzt allerdings voraus, dass der Hacker über Administratorenrechte verfügt, wie Microsoft betonte. Trotz des erfolgreichen Angriffs meinte die Sicherheitsexpertin, dass Microsoft "einen guten Job" gemacht habe, Vista sei nur "nicht ganz so sicher wie in der Werbung versprochen".

Die Coseinc-Sicherheitsexpertin war einem Aufruf des Softwareriesen Microsoft gefolgt, Windows Vista auf Sicherheitsmängel zu überprüfen. Zu diesem Zweck hatte Microsoft Vista-Vorabversionen an rund 3.000 IT-Experten - darunter auch Rutkowska - ausgegeben.

Microsoft bleibt gelassen

Bei der Demonstration anwesend war auch Microsofts Produktmanagement-Direktor Austin Wilson. Er reagierte gelassen auf die geglückte Attacke und verwies darauf, dass Microsoft eben aus diesem Grund zu den Black Hat Briefings in Las Vegas gekommen sei, um Vista auf unentdeckte Sicherheitslücken testen zu lassen.

Mängel sollen behoben werden

Wilson versprach, dass das Loch gestopft werde und Microsoft zu diesem Zweck auch mit Rutkowska in Kontakt treten wolle, um ihre Forschungsergebnisse sowie mögliche Gegenmaßnahmen zu diskutieren.

Windows Vista soll im Frühjahr 2007 auf den Markt kommen, rund zwei Jahre später als ursprünglich geplant. Bis zum Starttermin soll die Sicherheit des Betriebssystems mit dem Feedback von Security-Spezialisten so gut wie möglich verbessert werden.

Der Vista-Auslieferungstermin für Frühjahr 2007 wird lauf Microsoft-Boss Bill Gates aller Wahrscheinlichkeit nach halten.

(futurezone | pte.at | Informationweek.com)