Um sich selbst vor Angriffen zu schützen, kann Windows die Installation von Treibern blockieren, die bekanntermaßen Sicherheitslücken aufreißen. In der Praxis schützt das leider so gut wie gar nicht, weil Microsoft anscheinend vergessen hat, dass man die dafür gepflegte Liste unsicherer Treiber auch aktualisieren müsste. In der Folge bringt Ransomware immer öfter ihren eigenen, verwundbaren Treiber mit, um Windows-Sicherheit auszuhebeln.
Das Rückgrat eines Computers ist der Kernel des Betriebssystems, der vollen, unbeschränkten Zugriff auf alle Komponenten des Systems hat. Um etwa neue Hardware zu integrieren, kann man diesen Kernel durch Treiber ergänzen, die dann Zugriff auf Kernel-Ressourcen erhalten. Damit das nicht missbraucht wird, müssen solche Treiber von Microsoft signiert werden und bestimmten Anforderungen genügen.
Das passte aber irgendwie nicht zur Realität. Gerade in den letzten Monaten wurden gehäuft Vorfälle bekannt, in denen Cybercrime-Banden im Rahmen von Ransomware-Angriffen solche verwundbaren Treiber im System installierten. Trend Micro berichtete etwa von Ransomware-Vorfällen, bei denen Antiviren-Software mithilfe des Treibers mhyprot2.sys lahmgelegt wurde; in einem anderen Fall missbrauchte die Cuba-Gang den Avast Anti-Rootkit-Treiber asWarPot.sys, wie Microsoft selbst erklärt.
The Bring Your Own Vulnerable Driver technique means carrying a vulnerable signed kernel driver onto a system with driver signature enforcement in place. It has been used in the wild by both APT actors and in commodity malware. 3/5 https://t.co/rzyynMcOEU
Sicherheitsexperten nennen diese Angriffstechnik "Bring your own vulnerable Driver"; sie wurde zunächst von hochspezialisierten APT-Angreifern genutzt, um Kernel-Rootkits einzuschleusen, kommt aber offenbar auch immer öfter bei herkömmlichen Cybercrime-Attacken zum Einsatz. Das sollte jedoch in vielen Fällen eigentlich nicht mehr möglich sein, weil die eingesetzten Treiber bereits sehr lange als Problem bekannt waren und somit über die Windows-Schutzfunktionen blockiert werden sollten.
Ein aktuelles Windows 10 lädt den gefährliche Treiber trotz aktiver Speicherintegrität.
heise Security konnte dieses Verhalten in eigenen Tests ebenfalls nachvollziehen. Ein Windows-10-System mit allen Updates und aktiver Speicherintegrität lud den gefährlichen Treiber mhyprot2.sys. Erst nachdem wir dem System mit Dormanns Skript ApplyWdac eine neue Blocklist verpasst hatten, verweigerte es den Treiberstart.
Erst nachdem wir die Blocklist der gefährlichen Treiber manuell aktualisiert hatten, verweigerte Windows das Laden.
Es mehrten sich also die Anzeichen, dass Microsofts Kernel-Schutz in der Praxis unwirksam war, weil Windows keine Aktualisierung der Sperrliste bekommt. Gut zusammengefasst hat Dan Goodin das Fiasko in einem Artikel auf Ars Technicaund Microsoft ruderte unter dem steigenden Druck langsam zurück. Mittlerweile dokumentiert Microsoft das Windows-Verhalten zumindest korrekt und schreibt neuerdings: "Die Blockliste wird mit jeder neuen Hauptversion von Windows aktualisiert"; man plane ein Wartungs-Update und auch eine automatische Aktualisierung über den normalen Windows-Service-Kanal. Außerdem beschreibt Microsoft jetzt auch, wie man Liste händisch aktualisiert.
Überdies benötigen die Angreifer zum Laden eines Treibers bereits Administrator-Rechte, müssen also das System zuvor schon recht weitgehend kompromittiert haben. Der sich ausbreitende Einsatz von "Bring your own vulnerable Driver" zeigt aber, dass die Hintertür zum Windows-Kern den Angreifern nutzt. Und sei es nur, um sich besser im System verstecken zu können. Wer aber bisher nichts von dieser Schutzfunktion gehört hat, muss jetzt nicht alles stehen und liegen lassen, um diese auf Vordermann zu bringen.
Der eigentliche Skandal ist die an diesem Fall offenbar gewordene Schlamperei Microsofts in Hinblick auf Sicherheit. Sie führen eine Sicherheitsfunktion ein und preisen sie in höchsten Tönen, kümmern sich aber über Jahre hinweg nicht darum, dass sie in der Praxis auch funktioniert. Der Skandal ist, dass erst hartnäckige Sicherheitsforscher und Journalisten Microsoft nachweisen mussten, dass ihr angeblicher Schutz vor gefährlichen Treibern in Windows praktisch nutzlos ist.
Dass Microsoft das aktuelle Verhalten der Schutzfunktion jetzt richtig dokumentiert, ist ein erster Schritt, nicht mehr. Eine regelmäßige und automatische Aktualisierung der Treiber-Blockliste ist überfällig – doktert aber letztlich auch nur an Symptomen herum. Letztlich braucht es bei Microsoft ein grundsätzliches Umdenken im Hinblick auf Security – vergleichbar zu der Neuorientierung vor zwanzig Jahren, als Bill Gates seinem Konzern mit seinem Brandbrief zum Trustworthy Computing ein Major Security-Upgrade verordnete.
Quelle: heise
Das Rückgrat eines Computers ist der Kernel des Betriebssystems, der vollen, unbeschränkten Zugriff auf alle Komponenten des Systems hat. Um etwa neue Hardware zu integrieren, kann man diesen Kernel durch Treiber ergänzen, die dann Zugriff auf Kernel-Ressourcen erhalten. Damit das nicht missbraucht wird, müssen solche Treiber von Microsoft signiert werden und bestimmten Anforderungen genügen.
Verwundbare und bösartige Treiber
Stellt sich allerdings im Nachhinein heraus, dass ein Treiber eine Sicherheitslücke aufreißt, hat Windows ein Problem. Um das zu entschärfen, führt Microsoft eine Blacklist verwundbarer oder bösartiger Treiber; man kann sogar Treiber bei Microsoft zur Untersuchung und Aufnahme in diese Liste melden. Microsofts Windows Plattform Security Team erklärte in einem Blog-Beitrag: "Wir haben einen automatisierten Weg geschaffen, über den wir verwundbare Treiber blockieren können und der über Windows Update aktualisiert wird" und lobte sich später erneut "Vulnerable drivers are automatically blocked in the ecosystem".Das passte aber irgendwie nicht zur Realität. Gerade in den letzten Monaten wurden gehäuft Vorfälle bekannt, in denen Cybercrime-Banden im Rahmen von Ransomware-Angriffen solche verwundbaren Treiber im System installierten. Trend Micro berichtete etwa von Ransomware-Vorfällen, bei denen Antiviren-Software mithilfe des Treibers mhyprot2.sys lahmgelegt wurde; in einem anderen Fall missbrauchte die Cuba-Gang den Avast Anti-Rootkit-Treiber asWarPot.sys, wie Microsoft selbst erklärt.
Du musst angemeldet sein, um Bilder zu sehen.
ESET research@ESETresearchThe Bring Your Own Vulnerable Driver technique means carrying a vulnerable signed kernel driver onto a system with driver signature enforcement in place. It has been used in the wild by both APT actors and in commodity malware. 3/5 https://t.co/rzyynMcOEU
twitter.com11.1.2022,Sicherheitsexperten nennen diese Angriffstechnik "Bring your own vulnerable Driver"; sie wurde zunächst von hochspezialisierten APT-Angreifern genutzt, um Kernel-Rootkits einzuschleusen, kommt aber offenbar auch immer öfter bei herkömmlichen Cybercrime-Attacken zum Einsatz. Das sollte jedoch in vielen Fällen eigentlich nicht mehr möglich sein, weil die eingesetzten Treiber bereits sehr lange als Problem bekannt waren und somit über die Windows-Schutzfunktionen blockiert werden sollten.
In der Praxis nutzlos
Microsofts Behauptungen zum Schutz vor gefährlichen Treibern passten einfach nicht zu den konkreten Beobachtungen einiger Sicherheitsforscher, die auch nicht lockerließen. Der Security-Experte Will Dormann gab sich sehr viel Mühe, alle eventuell notwendigen Schalter und Switches in Windows zu aktivieren, schaffte es aber nicht, dass seine Testsysteme die problematischen Treiber blockierten. Erst als er Microsofts Blocklist händisch aktualisierte, trat das erwünschte Ergebnis tatsächlich ein – Windows weigerte sich endlich, den gefährlichen Treiber zu laden.
Du musst angemeldet sein, um Bilder zu sehen.
Ein aktuelles Windows 10 lädt den gefährliche Treiber trotz aktiver Speicherintegrität.
heise Security konnte dieses Verhalten in eigenen Tests ebenfalls nachvollziehen. Ein Windows-10-System mit allen Updates und aktiver Speicherintegrität lud den gefährlichen Treiber mhyprot2.sys. Erst nachdem wir dem System mit Dormanns Skript ApplyWdac eine neue Blocklist verpasst hatten, verweigerte es den Treiberstart.
Du musst angemeldet sein, um Bilder zu sehen.
Erst nachdem wir die Blocklist der gefährlichen Treiber manuell aktualisiert hatten, verweigerte Windows das Laden.
Es mehrten sich also die Anzeichen, dass Microsofts Kernel-Schutz in der Praxis unwirksam war, weil Windows keine Aktualisierung der Sperrliste bekommt. Gut zusammengefasst hat Dan Goodin das Fiasko in einem Artikel auf Ars Technicaund Microsoft ruderte unter dem steigenden Druck langsam zurück. Mittlerweile dokumentiert Microsoft das Windows-Verhalten zumindest korrekt und schreibt neuerdings: "Die Blockliste wird mit jeder neuen Hauptversion von Windows aktualisiert"; man plane ein Wartungs-Update und auch eine automatische Aktualisierung über den normalen Windows-Service-Kanal. Außerdem beschreibt Microsoft jetzt auch, wie man Liste händisch aktualisiert.
Der eigentliche Skandal und die Konsequenzen
Um das alles in den richtigen Kontext zu setzen: Es handelt sich bei diesem Schutz vor gefährlichen Treibern um einen vergleichsweise kleinen Baustein im Windows-Sicherheitskonzept, der derzeit nur in recht speziellen Szenarien eine Rolle spielt. So muss die Hardware den Windows-Sicherheitsmodus unterstützen und unter Windows 10 muss man im "Geräteschutz" die "Speicherintegrität" noch selbst einschalten, damit die Sperre aktiv wird. Nur bei Windows 11 hat Microsoft das mit dem Oktober-Update standardmäßig aktiviert.Überdies benötigen die Angreifer zum Laden eines Treibers bereits Administrator-Rechte, müssen also das System zuvor schon recht weitgehend kompromittiert haben. Der sich ausbreitende Einsatz von "Bring your own vulnerable Driver" zeigt aber, dass die Hintertür zum Windows-Kern den Angreifern nutzt. Und sei es nur, um sich besser im System verstecken zu können. Wer aber bisher nichts von dieser Schutzfunktion gehört hat, muss jetzt nicht alles stehen und liegen lassen, um diese auf Vordermann zu bringen.
Der eigentliche Skandal ist die an diesem Fall offenbar gewordene Schlamperei Microsofts in Hinblick auf Sicherheit. Sie führen eine Sicherheitsfunktion ein und preisen sie in höchsten Tönen, kümmern sich aber über Jahre hinweg nicht darum, dass sie in der Praxis auch funktioniert. Der Skandal ist, dass erst hartnäckige Sicherheitsforscher und Journalisten Microsoft nachweisen mussten, dass ihr angeblicher Schutz vor gefährlichen Treibern in Windows praktisch nutzlos ist.
Dass Microsoft das aktuelle Verhalten der Schutzfunktion jetzt richtig dokumentiert, ist ein erster Schritt, nicht mehr. Eine regelmäßige und automatische Aktualisierung der Treiber-Blockliste ist überfällig – doktert aber letztlich auch nur an Symptomen herum. Letztlich braucht es bei Microsoft ein grundsätzliches Umdenken im Hinblick auf Security – vergleichbar zu der Neuorientierung vor zwanzig Jahren, als Bill Gates seinem Konzern mit seinem Brandbrief zum Trustworthy Computing ein Major Security-Upgrade verordnete.
Quelle: heise
