Highlight

Bösartige Treiber: Microsofts Probleme sind viel größer als gedacht

Das Ausmaß von Microsofts Problemen mit bösartigen Treibern könnte weit über das hinausgehen, was bisher vermutet wurde. Die Sicherheitsarchitektur der Windows-Betriebssysteme enthält Ausnahmeregelungen, die Angreifern praktisch einladen, Schadcode einzuspeisen.

Christian Kahle, 31.07.2023 16:16 Uhr

Microsoft, Sicherheit, Hacker, Fehler, Hack, Bug, Kriminalität, Computer, Schadsoftware, Cybersecurity, Hacking, Internetkriminalität, Fehlerbehebung, Bugs, Absturz, Hacker Angriffe, Hacken, Attack, Crash, Ransom, Crime, Error, Schädling, Bluescreen, Fehlermeldung, Update Fehler, Windows 10 bugs, Windows 10 Bug, Fehlercode, Neon, Promi-Hacker, Windows 10 Fehler, Softwarefehler, User, Achtung, Bluescreens, Attantion, Opfer, Anwender, Windows 10 Bluescreen, Dead, Pink, Hardwarefehler, Traurig, Computertot, Programmabsturz, Sad

Nur die Spitze des Eisberges

Das Microsoft ein Treiberproblem hat, wurde in der vergangenen Woche deutlich. Das Unternehmen sorgte erst einmal dafür, dass hunderte Treiber gesperrt wurden, bei denen sich bösartige Akteure den Zugang zu digitalen Signaturen erschlichen hatten, um ihre Malware unter Umgehung aller Schutzmaßnahmen tief in Windows-Installationen zu platzieren.

Sicherheitsforscher der Cisco Talos Intelligence Group verwiesen allerdings darauf, dass die Maßnahmen Microsofts nur einen Teil des Problems lösen. Denn es gibt noch einen anderen, wesentlich einfacheren und häufiger genutzten Weg, Treiber mit integrierten Schadcodes in Windows-Systeme zu bringen. Denn das Betriebssystem achtet unter bestimmten Voraussetzungen gar nicht so sehr darauf, dass eine korrekte Signierung vorliegt. Hintergrund dessen ist das andauernde Bestreben Microsofts, maximal abwärtskompatibel zu teilweise uralter Software zu sein.

Tools vorhanden

Beginnend mit Windows 10, Version 1607, verlangt Microsoft, dass Kernel-Mode-Treiber von seinem Entwicklerportal signiert werden. "Dieser Prozess soll sicherstellen, dass die Treiber die Anforderungen und Sicherheitsstandards Microsofts erfüllen", erklärte der Forscher Chris Neal. Dennoch gibt es Ausnahmen - vor allem eine für Treiber, die mit Zertifikaten signiert sind, die vor dem 29. Juli 2015 abgelaufen sind oder ausgestellt wurden.

Wenn also ein neu kompilierter Treiber mit nicht widerrufenen Zertifikaten signiert ist, die vor diesem Datum ausgestellt wurden, wird er nicht blockiert. Inzwischen sind in der Malware-Szene verschiedene Tools im Umlauf, mit denen sich diese Lücke in der Sicherheitsarchitektur ausnutzen lässt - die beiden meistgenutzten heißen FuckCertVerifyTimeValidity und HookSignTool.

Handarbeit nötig

Diese Anwendungen machen es möglich, einen Treiber mit einer alten Signatur zu versehen und so wirken zu lassen, als handle es sich um ein altes Stück Software. In solch einem Fall schauen die Windows-internen Sicherheitswächter nicht mehr so genau hin. Laut den Forschern gehe die Zahl der entsprechend signierten Treiber in die Tausende und Microsoft bleibt im Grunde nichts anderes übrig, als die Zertifikate jeweils einzeln für ungültig zu erklären, wenn sie entdeckt werden.

Zusammenfassung

Microsoft hat ein Treiberproblem: Hunderte Treiber gesperrt.
Sicherheitsforscher: Windows kann signierte Treiber zulassen.
Microsoft verlangt seit Windows 10 Version 1607 signierte Treiber.
Ausnahme: Treiber mit Zertifikaten vor dem 29. Juli 2015.
Malware-Tools nutzen diese Lücke zur Einschleusung von Schadcode.
Microsoft muss Zertifikate einzeln für ungültig erklären.
Tausende solcher Treiber im Umlauf.

Siehe auch:

Thema:

Sicherheitslücken

Kommentieren46

Hinweis einsenden

Weitere Nachrichten zum Thema Hard-coded: Microsoft bremste Treiberinstallation bei Win9x wissentlichMicrosoft: Signierte Windows-Treiber kamen mit Malware - sind gesperrtMicrosoft liefert inkompatible AMD-GPU-Treiber in Windows 10 & 11 aus50 Prozent Leistungseinbuße nach jüngstem AMD Treiber-Update