Um sich selbst vor Angriffen zu schützen, kann Windows die Installation von Treibern blockieren, die bekanntermaßen Sicherheitslücken aufreißen. In der Praxis schützt das leider so gut wie gar nicht, weil Microsoft anscheinend vergessen hat, dass man die dafür gepflegte Liste unsicherer Treiber auch aktualisieren müsste. In der Folge bringt Ransomware immer öfter ihren eigenen, verwundbaren Treiber mit, um Windows-Sicherheit auszuhebeln.
Das Rückgrat eines Computers ist der Kernel des Betriebssystems, der vollen, unbeschränkten Zugriff auf alle Komponenten des Systems hat. Um etwa neue Hardware zu integrieren, kann man diesen Kernel durch Treiber ergänzen, die dann Zugriff auf Kernel-Ressourcen erhalten. Damit das nicht missbraucht wird, müssen solche Treiber von Microsoft signiert werden und
Das passte aber irgendwie nicht zur Realität. Gerade in den letzten Monaten wurden gehäuft Vorfälle bekannt, in denen Cybercrime-Banden im Rahmen von Ransomware-Angriffen solche verwundbaren Treiber im System installierten. Trend Micro berichtete etwa von Ransomware-Vorfällen, bei denen
ESET research
The Bring Your Own Vulnerable Driver technique means carrying a vulnerable signed kernel driver onto a system with driver signature enforcement in place. It has been used in the wild by both APT actors and in commodity malware. 3/5
Sicherheitsexperten nennen diese Angriffstechnik "Bring your own vulnerable Driver"; sie wurde zunächst von hochspezialisierten APT-Angreifern genutzt, um Kernel-Rootkits einzuschleusen, kommt aber offenbar auch immer öfter bei herkömmlichen Cybercrime-Attacken zum Einsatz. Das sollte jedoch in vielen Fällen eigentlich nicht mehr möglich sein, weil die eingesetzten Treiber bereits sehr lange als Problem bekannt waren und somit über die Windows-Schutzfunktionen blockiert werden sollten.
Ein aktuelles Windows 10 lädt den gefährliche Treiber trotz aktiver Speicherintegrität.
heise Security konnte dieses Verhalten in eigenen Tests ebenfalls nachvollziehen. Ein Windows-10-System mit allen Updates und aktiver Speicherintegrität lud den gefährlichen Treiber mhyprot2.sys. Erst nachdem wir dem System mit
Erst nachdem wir die Blocklist der gefährlichen Treiber manuell aktualisiert hatten, verweigerte Windows das Laden.
Es mehrten sich also die Anzeichen, dass Microsofts Kernel-Schutz in der Praxis unwirksam war, weil Windows keine Aktualisierung der Sperrliste bekommt. Gut zusammengefasst hat Dan Goodin das Fiasko in einem
Überdies benötigen die Angreifer zum Laden eines Treibers bereits Administrator-Rechte, müssen also das System zuvor schon recht weitgehend kompromittiert haben. Der sich ausbreitende Einsatz von "Bring your own vulnerable Driver" zeigt aber, dass die Hintertür zum Windows-Kern den Angreifern nutzt. Und sei es nur, um sich besser im System verstecken zu können. Wer aber bisher nichts von dieser Schutzfunktion gehört hat, muss jetzt nicht alles stehen und liegen lassen, um diese auf Vordermann zu bringen.
Der eigentliche Skandal ist die an diesem Fall offenbar gewordene Schlamperei Microsofts in Hinblick auf Sicherheit. Sie führen eine Sicherheitsfunktion ein und
Dass Microsoft das aktuelle Verhalten der Schutzfunktion jetzt richtig dokumentiert, ist ein erster Schritt, nicht mehr. Eine regelmäßige und automatische Aktualisierung der Treiber-Blockliste ist überfällig – doktert aber letztlich auch nur an Symptomen herum. Letztlich braucht es bei Microsoft ein grundsätzliches Umdenken im Hinblick auf Security – vergleichbar zu der Neuorientierung vor zwanzig Jahren, als Bill Gates seinem Konzern mit seinem
Quelle: heise
Das Rückgrat eines Computers ist der Kernel des Betriebssystems, der vollen, unbeschränkten Zugriff auf alle Komponenten des Systems hat. Um etwa neue Hardware zu integrieren, kann man diesen Kernel durch Treiber ergänzen, die dann Zugriff auf Kernel-Ressourcen erhalten. Damit das nicht missbraucht wird, müssen solche Treiber von Microsoft signiert werden und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Verwundbare und bösartige Treiber
Stellt sich allerdings im Nachhinein heraus, dass ein Treiber eine Sicherheitslücke aufreißt, hat Windows ein Problem. Um das zu entschärfen, führt Microsoft eine Blacklist verwundbarer oder bösartiger Treiber; man kann sogarDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und Aufnahme in diese Liste melden. Microsofts Windows Plattform Security Team
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
: "Wir haben einen automatisierten Weg geschaffen, über den wir verwundbare Treiber blockieren können und der über Windows Update aktualisiert wird" und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
später erneut "Vulnerable drivers are automatically blocked in the ecosystem".Das passte aber irgendwie nicht zur Realität. Gerade in den letzten Monaten wurden gehäuft Vorfälle bekannt, in denen Cybercrime-Banden im Rahmen von Ransomware-Angriffen solche verwundbaren Treiber im System installierten. Trend Micro berichtete etwa von Ransomware-Vorfällen, bei denen
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
lahmgelegt wurde; in einem anderen Fall missbrauchte die Cuba-Gang den Avast Anti-Rootkit-Treiber asWarPot.sys, wie
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
The Bring Your Own Vulnerable Driver technique means carrying a vulnerable signed kernel driver onto a system with driver signature enforcement in place. It has been used in the wild by both APT actors and in commodity malware. 3/5
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Sicherheitsexperten nennen diese Angriffstechnik "Bring your own vulnerable Driver"; sie wurde zunächst von hochspezialisierten APT-Angreifern genutzt, um Kernel-Rootkits einzuschleusen, kommt aber offenbar auch immer öfter bei herkömmlichen Cybercrime-Attacken zum Einsatz. Das sollte jedoch in vielen Fällen eigentlich nicht mehr möglich sein, weil die eingesetzten Treiber bereits sehr lange als Problem bekannt waren und somit über die Windows-Schutzfunktionen blockiert werden sollten.
In der Praxis nutzlos
Microsofts Behauptungen zum Schutz vor gefährlichen Treibern passten einfach nicht zu den konkreten Beobachtungen einiger Sicherheitsforscher, die auch nicht lockerließen. Der Security-ExperteDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, alle eventuell notwendigen Schalter und Switches in Windows zu aktivieren, schaffte es aber nicht, dass seine Testsysteme die problematischen Treiber blockierten. Erst als er Microsofts Blocklist händisch aktualisierte, trat das erwünschte Ergebnis tatsächlich ein – Windows weigerte sich endlich, den gefährlichen Treiber zu laden.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Ein aktuelles Windows 10 lädt den gefährliche Treiber trotz aktiver Speicherintegrität.
heise Security konnte dieses Verhalten in eigenen Tests ebenfalls nachvollziehen. Ein Windows-10-System mit allen Updates und aktiver Speicherintegrität lud den gefährlichen Treiber mhyprot2.sys. Erst nachdem wir dem System mit
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
eine neue Blocklist verpasst hatten, verweigerte es den Treiberstart.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Erst nachdem wir die Blocklist der gefährlichen Treiber manuell aktualisiert hatten, verweigerte Windows das Laden.
Es mehrten sich also die Anzeichen, dass Microsofts Kernel-Schutz in der Praxis unwirksam war, weil Windows keine Aktualisierung der Sperrliste bekommt. Gut zusammengefasst hat Dan Goodin das Fiasko in einem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und Microsoft ruderte unter dem steigenden Druck langsam zurück. Mittlerweile
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
das Windows-Verhalten zumindest korrekt und schreibt
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
: "Die Blockliste wird mit jeder neuen Hauptversion von Windows aktualisiert"; man plane ein Wartungs-Update und auch eine automatische Aktualisierung über den normalen Windows-Service-Kanal. Außerdem beschreibt Microsoft jetzt auch, wie man Liste händisch aktualisiert.Der eigentliche Skandal und die Konsequenzen
Um das alles in den richtigen Kontext zu setzen: Es handelt sich bei diesem Schutz vor gefährlichen Treibern um einen vergleichsweise kleinen Baustein im Windows-Sicherheitskonzept, der derzeit nur in recht speziellen Szenarien eine Rolle spielt. So muss die Hardware den Windows-Sicherheitsmodus unterstützen und unter Windows 10 muss man im "Geräteschutz" die "Speicherintegrität" noch selbst einschalten, damit die Sperre aktiv wird. Nur bei Windows 11 hat Microsoft das mit dem Oktober-Update standardmäßig aktiviert.Überdies benötigen die Angreifer zum Laden eines Treibers bereits Administrator-Rechte, müssen also das System zuvor schon recht weitgehend kompromittiert haben. Der sich ausbreitende Einsatz von "Bring your own vulnerable Driver" zeigt aber, dass die Hintertür zum Windows-Kern den Angreifern nutzt. Und sei es nur, um sich besser im System verstecken zu können. Wer aber bisher nichts von dieser Schutzfunktion gehört hat, muss jetzt nicht alles stehen und liegen lassen, um diese auf Vordermann zu bringen.
Der eigentliche Skandal ist die an diesem Fall offenbar gewordene Schlamperei Microsofts in Hinblick auf Sicherheit. Sie führen eine Sicherheitsfunktion ein und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, kümmern sich aber über Jahre hinweg nicht darum, dass sie in der Praxis auch funktioniert. Der Skandal ist, dass erst hartnäckige Sicherheitsforscher und Journalisten Microsoft nachweisen mussten, dass ihr angeblicher Schutz vor gefährlichen Treibern in Windows praktisch nutzlos ist.Dass Microsoft das aktuelle Verhalten der Schutzfunktion jetzt richtig dokumentiert, ist ein erster Schritt, nicht mehr. Eine regelmäßige und automatische Aktualisierung der Treiber-Blockliste ist überfällig – doktert aber letztlich auch nur an Symptomen herum. Letztlich braucht es bei Microsoft ein grundsätzliches Umdenken im Hinblick auf Security – vergleichbar zu der Neuorientierung vor zwanzig Jahren, als Bill Gates seinem Konzern mit seinem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ein Major Security-Upgrade verordnete.Quelle: heise
