Microsoft hat eine ebenso gefährliche wie gerissene Masche enttarnt, mit der Hacker ihre Malware auf fremde Windows-Rechner einschleusen wollen. Die Cybergangster tarnen ihre Malware als signierte Treiber. Das berichtet das auf Sicherheitsthemen spezialisierte IT-Nachrichtenportal Bleepingcomputer.
Infizierte Windows-Treiber
Microsoft hat demnach mehrere Microsoft-Hardware-Entwicklerkonten geschlossen, nachdem über deren Profile signierte Treiber für geplante Cyberattacken, einschließlich Ransomware-Angriffe (also Attacken mit Erpressersoftware, bei der die infizierten Rechner verschlüsselt und somit für den Zugriff des Benutzers gesperrt werden, bis Lösegeld bezahlt wird) verwendet wurden. Die Angreifer haben bösartige Kernel-Mode-Hardwaretreiber verwendet, die mit Authenticode-Signaturen aus dem Windows-Hardware-Entwicklerprogramm von Microsoft verifiziert wurde. Bei diesen Angriffen erlangt der Angreifer bereits vor der Verwendung der Treiber administrative Rechte auf den kompromittierten Systemen.
Die Warnung vor dieser Bedrohung verfasste Microsoft zusammen mit Mandiant, Sophos und SentinelOne. Denn diese drei Unternehmen hatten Microsoft über dieses Angriffsszenario informiert. Microsoft ging dem Hinweis nach und fand heraus, dass mehrere Entwicklerkonten für das Microsoft Partner Center bösartige Treiber einreichten, um eine Microsoft-Signatur zu erhalten. Ein erneuter Versuch, am 29. September 2022 einen bösartigen Treiber zum Signieren einzureichen, führte Anfang Oktober zur Sperrung der Konten.
Kernel-Mode-Hardwaretreiber, die in Windows geladen werden, haben dort die höchsten Ausführungsprivilegien auf Betriebssystemebenen. Mit diesen Rechten kann die Malware zum Beispiel Sicherheitssoftware abschalten, geschützte Dateien löschen oder als Rootkit Prozesse verstecken. Die Angreifer nutzen ein fertig verfügbares Tookit für diese raffinierte Angriffsvariante. Die genannten Sicherheitsunternehmen stellten zudem fest, dass es sich um unterschiedliche Angreifer handelt, die diese Attacken fahren.
Seit Windows 10 verlangt Microsoft, dass Kernel-Mode-Hardwaretreiber über das Windows Hardware Developer Program von Microsoft signiert werden. Dabei überprüft Microsoft die Developer, die sich für das Programm bewerben, und natürlich auch die von diesen eingereichten Treiber. Auf diese Überprüfung wiederum vertrauen viele Sicherheitsprogramme und überprüfen die Treiber nicht mehr. So können Cybergangster ihre Malware an der Schutzsoftware vorbei auf den Windows-Rechner einschmuggeln.
So schützt Microsoft die Windows-Nutzer
Microsoft hat Sicherheits-Updates veröffentlicht, die die auffälligen Zertifikate widerrufen. Zudem hat Microsoft die Konten gesperrt, mit denen die zu signierenden Treiber eingereicht wurden. Microsoft hat außerdem seinen Virenscanner Defender aktualisiert, damit dieser Treiber erkennt, die korrekt signiert sind, aber trotzdem für solche Angriffe ausgenutzt werden.
Eine wichtige Frage lässt Microsoft aber unbeantwortet: Wieso entging Microsoft bei der Treiberüberprüfung die darin enthaltene Malware?
Wurden bereits Rechner infiziert?
Anscheinend wurden die manipulierten Treiber rechtzeitig entdeckt. Microsoft schreibt, dass es keine Kompromittierung festgestellt habe. Auch die Berichte der drei Sicherheitsunternehmen lassen vermuten, dass kein erfolgreicher Angriff über diese clevere Angriffsmasche gelang.
Das können Sie tun
Windows-Anwender können bei einem derart raffinierten Angriff nur eines tun: Ihre Virenscanner, wie beispielsweise den Defender, immer auf dem aktuellen Stand halten. Andere Schutzmöglichkeiten haben Sie nicht.
Test: Die beste Antiviren-Software für Windows 11
Antivirus-Software für Windows 10 im Test
Die beste Antiviren-Software für Windows 10 fürs Büro
Security