De Microsoft update die Windows 7 64-bit systemen tegen de beruchte TDL4-rootkit moet beschermen, is inmiddels weer omzeild. De makers van de rooktit gebruikten een fout in de manier waarop Windows op gesigneerde drivers controleerde. Tijdens de patchcyclus van april kwam de softwaregigant met een update die het probleem oploste.

Volgens Marco Giuliani van beveiligingsbedrijf PrevX hebben de makers niet lang op zich laten wachten met het uitbrengen van een update voor de rootkit. Daardoor weet de malware niet alleen de net uitgebrachte Microsoft patch te omzeilen, maar ook verschillende online TDL-rootkit scanners. Giuliani laat weten dat de nieuw ontdekte TDL4-versie nog in ontwikkeling is, aangezien de code verschillende bugs bevat.

Onderscheppen
"Deze nieuwe release van de TDL4-rootkit bevat specifieke code voor het uitschakelen van de driver signing security routine", aldus de beveiliger. Microsofts patch zorgde ervoor dat het Winload.exe bestand de digitale handtekening van de kernel en bijbehorende modules controleerde. Als de integriteit niet is vast te stellen, verschijnt er een foutmelding. Om deze controle te omzeilen, onderschept de rootkit deze controleroutines en patcht ze, zodat Winload.exe een niet bestaande foutmelding terugkrijgt en het systeem gewoon start, en daarmee een niet ondertekende, geïnfecteerde module laadt.

"Het team achter de TDL4-rootkit is springlevend en werkt in stilte aan hun creatie, om het alle bekende beveiligingsbeperkingen te laten omzeilen", gaat Giuliani verder. "Helaas is de eerste 64-bit Windows rootkit niet verdwenen, maar sterker terug dan ooit tevoren."