[English]Das Windows Platform Security Team geht in einem Beitrag auf die Technik ein, dass Secure-Core PCs Windows gegen Angriffe auf den Kernel, z.B. durch kompromittierte Treiber, schützen können.
Anzeige
Ich hatte die Information bereits gestern gelesen, bin aber erneut über den nachfolgenden Tweet auf diesen Beitrag aufmerksam geworden.
Cool new blog on preventing Windows driver attacks against EDRs and EPP with Secured-core PCs. Check it out!! https://t.co/nRCG3VlwP9 pic.twitter.com/KRQt5Bn3ih
— Dave dwizzzle Weston (@dwizzzleMSFT) March 17, 2020
Die Leute von Microsoft arbeiten sich in diesem Beitrag am Thema erlangen von Kernel-Privilegien durch Ausnutzung legitimer Kernel-Treiber ab.
Kernel-Treiber für Privilege Escalation missbrauchen
Der Erwerb von Kernel-Privilegien durch Ausnutzung legitimer, aber anfälliger Kernel-Treiber ist zu einem etablierten Werkzeug der Wahl für fortgeschrittene Angreifer geworden. Mehrere Malware-Angriffe, darunter RobbinHood, Uroburos, Derusbi, GrayFish und Sauron sowie Kampagnen des Bedrohungsakteurs STRONTIUM, haben Treiber-Schwachstellen (z.B. CVE-2008-3431, CVE-2013-3956, CVE-2009-0824, CVE-2010-1592,usw.) ausgenutzt, um Kernel-Privilegien zu erlangen und in einigen Fällen Sicherheitsagenten auf kompromittierten Rechnern effektiv zu deaktivieren.
Anzeige
Secured-Core-PCs als Gegenmaßnahme
Im Oktober 2019 hatte Microsoft eine neue Entwicklung, die Secured-Core-PCs mit zusätzlichem Schutz vor Firmware-Angriffen, vorgestellt. Ich hatte im Blog-Beitrag Microsoft stellt Secured-core PCs mit Firmware-Schutz vor darüber berichtet.
Secured-Core-PCs sind Geräte, die eine Reihe von Sicherheitstechnologien verwenden, um Angriffe auf Firmware-Ebene zu verhindern. Microsoft will dazu einen softwarebasierten Schutz auf Betriebssysteme und in verbundene Dienste integrieren. Microsoft arbeitete intern und extern mit den OEM-Partnern Lenovo, HP, Dell, Panasonic, Dynabook und Getac zusammen, um eine neue Geräteklasse, die Secured-Core-PCs, einzuführen.
Diese Secured-Core-PCs müssen "eine Reihe spezifischer Geräteanforderungen, die die Sicherheits-Best-Practices der Isolierung und des minimalen Vertrauens auf die Firmware-Schicht oder den Gerätekern, der das Windows-Betriebssystem unterstützt, anwenden" erfüllen. Die Geräte richten sich an Unternehmen, die mit hochsensiblen Informationen umgehen, wie z.B. Finanzdienstleister, staatliche Institutionen und so weiter.
Die Details, wie Microsoft sich die Absicherung auf Secured-Core-PCs mittels TPM 2.0 oder höher, Windows Defender System Guard, HVCI Kernel DMA-Schutz etc. vorstellt, sind in diesem Blog-Beitrag nachzulesen.
Anzeige
Das legitime rational hinter diesen Maßnahmen ist einerseits verständlich, andererseits fördern solche Sachen auch die Apple-fizierung des Software-Ökosystems und damit die Entmündigung der Benutzer und Admins.
Ein System muss außer von Blacklisten auch von Hardware Besitzer einspielbare Whitelists haben mit den der Besitzer nach belieben eigenen nicht vom MSFT signierten Code auf Kernel und Hypervisor ebene zur Ausführung bringen kann.