Im Rahmen des monatlichen Windows-Updates ist Microsoft gegen eine Vielzahl bösartiger Treiber und deren Entwickler vorgegangen. Die Windows-Treiber enthalten Malware, tragen aber eine gültige digitale Signatur und wurden deshalb ohne Rückfrage vom Betriebssystem geladen. Laut Sicherheitsforschern handelt es sich um 133 Treiber. Jetzt hat Microsoft die identifizierten Treiber blockiert und die entsprechenden Entwicklerkonten gesperrt.
Microsoft erklärt zu den betroffenen Treibern mit gültiger Signatur, dass sich die enthaltene Malware Administratorrechte aneignen konnte. Damit könnten die kompromittierten Systeme überwacht und manipuliert werden. Die Treiber kamen laut Microsoft von verschiedenen Entwicklerkonten unter den Microsoft-Partnern, die nach Identifizierung umgehend suspendiert wurden. Windows erkennt seit einem Update Anfang März bereits viele dieser bösartigen Treiber.
Sophos war die erste Sicherheitsfirma, die Microsoft auf die signierten Treiber mit Malware hingewiesen hat, und erklärt die Vorgehensweise. Da die Treiber von Drittanbietern praktisch als Teil des Betriebssystems fungieren, fordert Microsoft eine gültige Signatur vor Ausführung. Da Treiber schon beim Windows-Start geladen werden, können sie sich Administratorrechte einräumen und eventuell sogar danach geladene Sicherheitssoftware manipulieren. Genau dies hat Sophos bei der Untersuchung herausgefunden.
Sobald Microsoft die betroffenen Zertifikate identifiziert und diese auf die im Betriebssystem verankerte Widerrufsliste Driver.STL gesetzt hat, werden die entsprechenden Treiber nicht mehr geladen. Die Liste wird mit Windows ausgeliefert, ist aber nicht Teil von Windows selbst. Laut Microsoft kann die Liste nicht abgeschaltet, entfernt oder manipuliert werden. Sie wird von Microsoft per Windows-Update regelmäßig aktualisiert.
Microsoft erklärt zu den betroffenen Treibern mit gültiger Signatur, dass sich die enthaltene Malware Administratorrechte aneignen konnte. Damit könnten die kompromittierten Systeme überwacht und manipuliert werden. Die Treiber kamen laut Microsoft von verschiedenen Entwicklerkonten unter den Microsoft-Partnern, die nach Identifizierung umgehend suspendiert wurden. Windows erkennt seit einem Update Anfang März bereits viele dieser bösartigen Treiber.
Windows-Updates sollen helfen
Deshalb seien regelmäßige Windows-Updates und Updates für Microsofts Sicherheitssoftware Defender zu empfehlen. Auch sollten Antivirusprogramme auf dem aktuellen Stand gehalten werden. Anwender sollten Offline-Scans ihrer Systeme durchführen, um bösartige Treiber zu entdecken, die vor dem 2. März 2023 installiert wurden, als Microsoft den entsprechenden Erkennungsmechanismus implementiert hat. Microsoft-Dienste wie Azure, M365 oder Xbox seien aber nicht betroffen.Sophos war die erste Sicherheitsfirma, die Microsoft auf die signierten Treiber mit Malware hingewiesen hat, und erklärt die Vorgehensweise. Da die Treiber von Drittanbietern praktisch als Teil des Betriebssystems fungieren, fordert Microsoft eine gültige Signatur vor Ausführung. Da Treiber schon beim Windows-Start geladen werden, können sie sich Administratorrechte einräumen und eventuell sogar danach geladene Sicherheitssoftware manipulieren. Genau dies hat Sophos bei der Untersuchung herausgefunden.
Digitale Zertifikate oft gestohlen
Dies ist allerdings kein neues Phänomen. Schon vor zehn Jahren warnte Microsoft vor signierter Malware, denn auch 2013 trugen immer mehr Schädlinge eine gültige digitale Signatur. Die Unterschriften wurden typischerweise mit gestohlenen Entwicklerzertifikaten erstellt. Schon damals rief Microsoft Entwickler dazu auf, besser auf ihre Zertifikate aufzupassen. Doch auch jetzt wurden laut Sophos erneut Zertifikate von Softwareherstellern gestohlen und im Internet verbreitet.Sobald Microsoft die betroffenen Zertifikate identifiziert und diese auf die im Betriebssystem verankerte Widerrufsliste Driver.STL gesetzt hat, werden die entsprechenden Treiber nicht mehr geladen. Die Liste wird mit Windows ausgeliefert, ist aber nicht Teil von Windows selbst. Laut Microsoft kann die Liste nicht abgeschaltet, entfernt oder manipuliert werden. Sie wird von Microsoft per Windows-Update regelmäßig aktualisiert.
