Microsoft soll es versäumt haben, Windows vor bösartigen Treibern zu schützen. Obwohl das Unternehmen bekannt gab, dass sein Windows-Update-Mechanismus anfällige Treiber blockiert, bewies eine Veröffentlichung das Gegenteil, indem darauf hingewiesen wurde, dass die Liste der betroffenen Treiber nicht rechtzeitig aktualisiert wurde. Dies wiederum hat Millionen von Kunden ungeschützt gegen eine seit kurzem aktive Malware-Infektionstechnik namens BYOVD zurückgelassen, was für „Bring Your Own Vulnerable Driver“ steht. Lassen Sie uns verstehen, was im Detail passiert ist.
Hacker nutzen fehlerhafte Computertreiber aus, um sich Zugang zu Systemen zu verschaffen
Im Allgemeinen sind Treiber Werkzeuge, die einem Computer helfen, unter anderem mit Peripheriegeräten wie Druckern, Kameras und Grafikkarten zu arbeiten. Sie fungieren als Brücke zwischen dem Kern des Betriebssystems und dem Gerät, um eine bestimmte Aufgabe zu erfüllen. Dabei benötigen Treiber oft Zugriff auf den Kernel, den sensibelsten Teil eines Betriebssystems.
Um unbefugten Zugriff auf den Kernel zu verhindern, erlaubt Microsoft Treibern aus nicht vertrauenswürdigen Quellen keinen Zugriff darauf. Hacker und böswillige Akteure verwenden jedoch jetzt „legitime Treiber“, die Schwachstellen durch Speicherbeschädigung enthalten, um von Microsoft festgelegte Sicherheitsbarrieren zu durchbrechen. Solche Treiber haben es Cyberkriminellen ermöglicht, auf den Kernel zuzugreifen und die Kontrolle über die Geräte der Benutzer zu übernehmen, und diese Technik der Verwendung offizieller, aber kompromittierter Treiber wird als BYOVD bezeichnet. Die Methode wird seit 2012 angewendet.
Microsoft hätte die Liste der blockierten Treiber vor drei Jahren aktualisieren sollen
Der Bericht von ArsTechnica erwähnt, dass „Microsoft sich der BYOVD-Bedrohung voll bewusst ist und an Abwehrmaßnahmen gearbeitet hat, um diese Angriffe zu stoppen, in erster Linie durch die Schaffung von Mechanismen, die Windows daran hindern, signierte, aber anfällige Treiber zu laden.“ Der Bericht erwähnt jedoch auch, dass der Ansatz von Microsoft nicht gut funktioniert hat. Microsoft Windows Update konnte die Liste der kompromittierten oder betroffenen Treiber nicht aktualisieren, was Angreifern die Möglichkeit eröffnet, sie zu missbrauchen.
Dan Goodin von ArsTechnica und ESET-Forscher Peter Kalnai fanden heraus, dass die Funktion, die betroffene Treiber unter Microsoft Windows auf einem PC blockierte, ein Windows 10 Enterprise-System nicht daran hinderte, einen anfälligen Dell-Treiber zu laden.
ANALYGENCE Senior Vulnerability Analyst Will Dormann hat entdeckt, dass das ASR-System, von dem Microsoft spricht, nicht funktioniert. Der Analyst kam außerdem zu dem Schluss, dass „die Treiber-Sperrliste für HVCI-fähige Windows 10-Maschinen seit 2019 nicht mehr aktualisiert wurde und die ursprüngliche Server-Sperrliste 2019 nur zwei Treiber enthielt.“
Auf der Seite mit empfohlenen Treiberblockierungsregeln von Microsoft heißt es, dass die Treiberblockierungsliste auf HVCI-kompatiblen Geräten „erzwungen“ wird.
Doch hier ist ein HVCI-kompatibles System, und einer der auf der Sperrliste aufgeführten Treiber (WinRing0) ist glücklich geladen.
Ich glaube nicht an Dokumente.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy— Will Dormann (@wdormann) 16 September 2022
Als Reaktion darauf teilte ein Microsoft-Beamter Twitter mit, das Unternehmen habe Online-Dokumente aktualisiert und einen Download mit Anweisungen zum manuellen Rollout von Sperrlisten-Updates hinzugefügt. Es ist jedoch wichtig zu beachten, dass dies nicht die ultimative Lösung ist. Microsoft sollte Blocklist-Updates über den Windows Update-Mechanismus einführen, um alle Benutzer vor der Bedrohung zu schützen.
