Windows Kernel Data Protection (KDP) als Malwareschutz

[English]Microsoft testet gerade eine neue Kernel Data Protection Technologie (KDP) mit Windows 10 Insidern. Diese soll laut Microsoft Malware oder Angreifer hindern, den Speicher des Betriebssystems zu verändern (zu beschädigen).


Anzeige

Es gibt verschiedene Sicherheitstechnologien wie Code Integrity (CI) und Control Flow Guard (CFG), die eine Speicherverfälschung verhindern. Bekommen Angreifer dies mit, verlagern diese ihre Taktik erwartungsgemäß in Richtung Datenverfälschung. Die Angreifer setzen dann Datenkorruptionstechniken ein, um die Sicherheitspolitik des Systems ins Visier zu nehmen, Privilegien zu eskalieren, Sicherheitsbescheinigungen zu manipulieren und "einmal initialisierte" Datenstrukturen zu modifizieren.

Kernel Data Protection (KDP)

In diesem Techcommunity-Artikel stellt Microsoft nun seine Kernel Data Protection (KDP) Technologie vor. Das neue Kernel Data Protection (KDP) soll Datenbeschädigungsangriffe verhindert, indem es Teile des Windows-Kernels und der Treiber durch virtualisierungsbasierte Sicherheit (VBS) schützt. KDP ist eine Reihe von APIs, die die Möglichkeit bieten, einen Teil des Kernel-Speichers als schreibgeschützt zu markieren. Dadurch werden Angreifer daran gehindert, den geschützten Speicher jemals zu modifizieren.

Microsoft hat zum Beispiel erlebt, dass Angreifer signierte, aber anfällige Treiber verwenden, um Richtliniendatenstrukturen anzugreifen und einen bösartigen, unsignierten Treiber zu installieren. KDP mildert solche Angriffe, indem es sicherstellt, dass Richtliniendatenstrukturen im Kernel nicht manipuliert werden können.

Das Konzept, den Kernel-Speicher als schreibgeschützt zu schützen, bietet Möglichkeiten, den Windows-Kernel, Posteingangskomponenten, Sicherheitsprodukte und sogar Treiber von Drittanbietern wie Anti-Cheat- und Digital Rights Management (DRM)-Software zu schützen. Zu den wichtigen Sicherheits- und Manipulationsschutzanwendungen dieser Technologie kommen noch weitere Vorteile hinzu:

  • Leistungsverbesserungen – KDP verringert die Belastung der Bescheinigungskomponenten, die nicht mehr regelmäßig Datenvariablen überprüfen müssten, die schreibgeschützt sind
  • Zuverlässigkeitsverbesserungen – KDP erleichtert die Diagnose von Fehlern bei der Speicherverfälschung, die nicht unbedingt Sicherheitsschwachstellen darstellen
  • Schaffung eines Anreizes für Treiberentwickler und -anbieter, die Kompatibilität mit virtualisierungsbasierter Sicherheit zu verbessern, wodurch die Akzeptanz dieser Technologien im Ökosystem verbessert wird

KDP verwendet Technologien, die auf PCs mit gesichertem Kern (Core) standardmäßig unterstützt werden und die einen bestimmten Satz von Geräteanforderungen implementieren. KDP verbessert die Sicherheit, die durch die Funktionen, aus denen PCs mit gesichertem Kern bestehen, durch Hinzufügen einer weiteren Schutzebene für sensible Systemkonfigurationsdaten. Details zu Kernel Data Protection (KDP)stellt Microsoft nun in diesem Techcommunity-Artikel vor.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Windows Kernel Data Protection (KDP) als Malwareschutz

  1. Nick sagt:

    Grundsätzlich begrüsse ich zwar derartige Verbesserungen, zumal Windows diese bitter nötig hat, jedoch muss ebenfalls angemerkt werden das solche Funktionalitäten und deutlich mehr, seit nunmehr einer Ewigkeit Standard sind unter BSD und Linux. Persönlich empfinde ich das eher als erschreckend, wie lange Microsoft dafür gebraucht hat, und das Windows erst weltweit immer mehr an Relevanz einbüßen muss, damit Microsoft es mal für nötig hält an grundlegenden Sicherheitsmechanismen zu arbeiten.

Schreibe einen Kommentar zu Nick Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.