Hardware & Software Malware in über 100 signierten Windows-Treibern gefunden: Microsoft reagiert

Im Rahmen des monatlichen Windows-Updates ist Microsoft gegen eine Vielzahl bösartiger Treiber und deren Entwickler vorgegangen. Die Windows-Treiber enthalten Malware, tragen aber eine gültige digitale Signatur und wurden deshalb ohne Rückfrage vom Betriebssystem geladen. Laut Sicherheitsforschern handelt es sich um 133 Treiber. Jetzt hat Microsoft die identifizierten Treiber blockiert und die entsprechenden Entwicklerkonten gesperrt.

Microsoft erklärt zu den betroffenen Treibern mit gültiger Signatur, dass sich die enthaltene Malware Administratorrechte aneignen konnte. Damit könnten die kompromittierten Systeme überwacht und manipuliert werden. Die Treiber kamen

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

von verschiedenen Entwicklerkonten unter den Microsoft-Partnern, die nach Identifizierung umgehend suspendiert wurden. Windows erkennt seit einem Update Anfang März bereits viele dieser bösartigen Treiber.

Windows-Updates sollen helfen​

Deshalb seien regelmäßige Windows-Updates und Updates für Microsofts Sicherheitssoftware Defender zu empfehlen. Auch sollten Antivirusprogramme auf dem aktuellen Stand gehalten werden. Anwender sollten Offline-Scans ihrer Systeme durchführen, um bösartige Treiber zu entdecken, die vor dem 2. März 2023 installiert wurden, als Microsoft den entsprechenden Erkennungsmechanismus implementiert hat. Microsoft-Dienste wie Azure, M365 oder Xbox seien aber nicht betroffen.
Sophos war die erste Sicherheitsfirma, die Microsoft auf die signierten Treiber mit Malware hingewiesen hat, und erklärt die Vorgehensweise. Da die Treiber von Drittanbietern praktisch als Teil des Betriebssystems fungieren, fordert Microsoft eine gültige Signatur vor Ausführung. Da Treiber schon beim Windows-Start geladen werden, können sie sich Administratorrechte einräumen und eventuell sogar danach geladene Sicherheitssoftware manipulieren. Genau dies hat Sophos bei der Untersuchung herausgefunden.

Digitale Zertifikate oft gestohlen​

Dies ist allerdings kein neues Phänomen. Schon vor zehn Jahren

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

, denn auch 2013 trugen immer mehr Schädlinge eine gültige digitale Signatur. Die Unterschriften wurden typischerweise mit gestohlenen Entwicklerzertifikaten erstellt. Schon damals rief Microsoft Entwickler dazu auf, besser auf ihre Zertifikate aufzupassen. Doch auch jetzt wurden laut Sophos erneut Zertifikate von Softwareherstellern gestohlen und im Internet verbreitet.
Sobald Microsoft die betroffenen Zertifikate identifiziert und diese auf die im Betriebssystem verankerte

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

gesetzt hat, werden die entsprechenden Treiber nicht mehr geladen. Die Liste wird mit Windows ausgeliefert, ist aber nicht Teil von Windows selbst. Laut Microsoft kann die Liste nicht abgeschaltet, entfernt oder manipuliert werden. Sie wird von Microsoft per Windows-Update regelmäßig aktualisiert.

Rootkits per Treiber "made in China"​

Etliche Zertifikate der bösartigen Treiber haben

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

ihren Ursprung offenbar in China. Die Sicherheitsfirma hat etwa Zertifikate gefunden von Beijing Kate Zhanhong Technology, Zhuhai liancheng Technology, Beijing JoinHope Image Technology, Hainan Giant Spirit Network Technology, Shenzhen Luyoudashi Technology, Chengdu Lule Cube und Bopsoft.