+43 (1) 812 32 30-0 office@purple-tec.at

Microsofts Problem mit bösartigen Treibern dürfte weitaus größer sein. Vor zwei Wochen wurde schon ein Artikel darüber veröffentlicht, dass Microsoft eine ganze Reihe von Treibern sperren musste, denn diese wurden missbräuchlich in Umlauf gebracht, um Malware tief in angegriffene Systeme zu pflanzen.

Nun ist das Problem schlimmer als angenommen, denn in der Sicherheitsarchitektur der Windows-Betriebssysteme gibt es Ausnahmeregelungen, die Angreifer geradezu einladen, Schadcodes in die Systeme zu schieben. Es wurden hunderte Treiber gesperrt, weil sich bösartige Akteure Zugang zu digitalen Signaturen erschlichen hatten, um ihre Malware zu platzieren.

Beginnend mit Windows10, Version 1607, verlangt Microsoft, dass Kernel-Mode-Treiber von seinem Entwicklerportal signiert werden. „Dieser Prozess soll sicherstellen, dass die Treiber die Anforderungen und Sicherheitsstandards Microsofts erfüllen“, erklärte der Forscher Chris Neal. Dennoch gibt es Ausnahmen – vor allem eine für Treiber, die mit Zertifikaten signiert sind, die vor dem 29. Juli 2015 abgelaufen sind oder ausgestellt wurden.

Wenn also ein neu kompilierter Treiber mit nicht widerrufenen Zertifikaten signiert ist, die vor diesem Datum ausgestellt wurden, wird er nicht blockiert. Inzwischen sind in der Malware-Szene verschiedene Tools im Umlauf, mit denen sich diese Lücke in der Sicherheitsarchitektur ausnutzen lässt – die beiden meistgenutzten heißen FuckCertVerifyTimeValidity und HookSignTool.

Der ganze Bericht ist unter folgendem Link zu finden:

https://winfuture.de/news,137430.html

 

Dein Team von Purple-Tec

1