Microsoft öffnet Cyberkriminellen unwissentlich Tür und Tor
Cyberkriminellen ist es gelungen, Microsoft über ihr Drittentwickler-Programm bösartige Hardware-Treiber unterzujubeln. Diese Treiber nutzen sie dann aus, um Ransomware zu verbreiten
Cyberkriminelle haben in den vergangenen Monaten bösartige Kernel-Mode-Hardwaretreiber verwendet, um Ransomware zu verbreiten. Wie sich jetzt herausstellte, waren viele dieser Treiber von Microsoft signiert und wurden von Windows-Systemen damit als vertrauenswürdig eingestuft, wie "The Register" berichtet. Microsoft habe inzwischen diverse Konten von Drittentwicklern gesperrt und die zur Signierung verwendeten Zertifikate widerrufen. Zur Absicherung von Windows-Systemen stellt das Unternehmen inzwischen Updates bereit.
Bereits im Oktober hätten Forschende der Cybersicherheitsunternehmen Mandiant, Sentinel One und Sophos das Unternehmen darauf aufmerksam gemacht, dass Treiber mit einer Microsoft-Signatur für Cyberangriffe benutzt werden, wie "The Register" weiter schreibt. Cyberkriminelle erstellten demnach Entwicklerkonten beim Unternehmen aus Redmond, um bösartige Treiber beim "Windows Hardware Developer Program" des Softwaregiganten einzuschleusen.
Ist einer dieser bösartigen, von Microsoft signierten Kernel-Mode-Hardware-Treiber erst einmal auf einem System installiert, hätten Cyberkriminelle umfangreiche Möglichkeiten, um das System weiter zu kompromittieren. So können zum Beispiel Antiviren-Software und andere Schutzmechanismen ausgeschaltet werden, wie "The Register" weiter schreibt. Microsoft verlange seit Windows 10, dass Kernel-Mode-Treiber über das Windows Hardware-Developer-Programm signiert werden.
Methode kommt immer häufiger zum Einsatz
Für Cyberkriminelle gibt es zwei Methoden, wie sie fehlerhafte Treiber für Cyberangriffe missbrauchen können. Beim BYOVD-Ansatz (Bring Your Own Vulnerable Driver) installiert ein Angreifer mit ausreichenden Rechten auf einem System einen legitimen, nicht böswilligen, signierten Windows-Treiber, der bekanntermassen Schwachstellen enthält. Diese Schwachstellen nutzen die Cyberkriminellen anschliessend aus, um das System weiter zu kompromittieren.
Alternativ können Cyberkriminelle auch einen signierten Treiber laden, der speziell für bösartige Zwecke entwickelt wurde. Das Endergebnis ist weitgehend das gleiche.
Die Verwendung von vertrauenswürdigen Gerätetreibern von Drittanbietern, um Sicherheitstools zu umgehen, hat im Jahr 2022 zugenommen, wie die Sophos-Forscher Andreas Klopsch und Andrew Brandt auf der Sophos-Website schreiben. "Bedrohungsakteure bewegen sich in der Vertrauenspyramide nach oben und versuchen, immer mehr vertrauenswürdige kryptografische Schlüssel zu verwenden, um ihre Treiber digital zu signieren", schreiben sie weiter.
Übrigens: In der Schweiz war im November 2022 Icedid die häufigste Malware. Der Banking-Trojaner führte die Liste bereits zum zweiten Mal in Folge an, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.