Windows: WDAC und Driver Blocklist scheitern; MS will Video von Will Dormann

Brass zwischen Sicherheitsforscher Will Dormann und Microsoft? Dormann hatte die Tage einen Post auf Mastodon veröffentlicht, dass die Microsoft Vulnerable Driver Blocklist und WDAC auf drei unterschiedliche Arten scheitern, Windows zu schützen. Und als er ein Problem an Microsoft melden wollte, hieß es: "Schauen wir nur an, wenn ein Video mitgeliefert wird". Ich kippe mal die beiden losen Fäden hier im Blog ein.

Windows-Schutz (WDAC, Driver-Blocklist)

Microsoft hat Windows verschiedene Schutzfunktionen spendiert, um auf Sicherheitsbedrohungen reagieren zu können. Windows Defender Application Control (WDAC) soll sicherstellen, dass Administratoren einschränken können, welche Anwendungen die Anwender ausführen dürfen oder welcher Code Systemkern (Kernel) ausgeführt werden darf.

Die Windows Driver-Blocklist legt fest, dass bestimmte Treiber, die als bösartig gelten, nicht in Windows geladen werden dürfen. Bei diesem Feature fällt mir immer sofort ein, dass Microsoft eingestehen musste, dass das jahrelang nicht funktioniert hat (siehe meinen Beitrag Microsoft bestätigt: Windows patzt bei der Erkennung gefährlicher Treiber – Blocklisten nicht verteilt).

Dormann zum Windows-Schutz (WDAC, Driver-Blocklist)

Ich bin vorige Woche auf nachfolgenden Post von Sicherheitsexperte Will Dormann gestoßen, den ich bisher hier im Blog noch nicht thematisieren konnte.

Dormann führt aus, dass sowohl die Microsoft Vulnerable Driver Blocklist als auch Windows Defender Application Control (WDAC) auf drei verschiedene Arten scheitern, Windows zu schützen.

• Wenn Hypervisor-Protected Codeintegrität (HVCI) ausgeschaltet ist, werden WDAC-Blöcke über File Signer, die einen FileAttrib-Qualifier haben (z.B. alle By-Signer-Einträge in der MS Vulnerable Driver Blocklist), nicht blockiert.
• Die Treiberblockliste, die an die Endpunkte weitergegeben wird, ist nicht dieselbe Liste wie die öffentliche Treiberblockliste. In der Blockliste für die Endpunkte fehlen zahlreiche Hashes. Manche Einträge fehlen seit 2 Jahren.
• HVCI-Systeme halten sich nicht an den FilePath-Qualifier für WDAC-Regeln.

Er widerlegt damit die Behauptungen Microsoft, was die Schutzmechanismen tun sollen. Für interessierte Leser: Dormann hat seine Ausführungen in diesem Post auf Mastodon ausführlicher dargelegt.

Unter dem Strich weist Dormann darauf hin, dass die von Microsoft propagierten Windows-Schutzlösungen ziemlich "halbseiden" seien und man sich nicht darauf verlassen solle. Er hat seine Erkenntnisse natürlich an Microsoft (MSRC) gemeldet.

Zweifacher Fail des MSRC; man will Video

Das Microsoft Security Response Center (MSRC) behauptet aber, dass keines der von ihm gemeldeten Probleme Sicherheitslücken (CWE-693) seien, also auch nicht behoben werden. Seine Schlussfolgerung: Wenn Nutzer oder Administratoren sich auf die Schutzfunktionen von Windows verlassen, müssen Sie damit rechnen, enttäuscht zu werden.

Aber die Geschichte geht noch weiter, denn als Dormann seine Erkenntnisse an Microsoft meldete, bekam er die Rückmeldung "ohne Video, was dies demonstriert, werden die Meldungen nicht bearbeitet" (O-Ton der MSRC-Antwort "As requested, please provide clear video POC (proof of concept) on how the said vulnerability is being exploited? We are unable to make any progress without that. It will be highly appreciated.". Dormann hat das in obigem Mastodon-Post thematisiert und schreibt:

Ich verstehe, dass Kinder heutzutage nichts verstehen können, was nicht in TikTok vorkommt. Aber dass die MSRC einen klar formulierten Schwachstellenbericht ohne ein dazugehöriges Video nicht akzeptiert…

Er hat dann ein 15:00 Minuten langes Video mit Techno-Beat als Audio unterlegt, in dem er die "Schwachstellen" zeigt. War an mir vorbei gegangen, aber The Register hat es hier aufgegriffen. Das Medium schreibt, dass Dormann aus Frustration über Microsofts Forderung, ein Video zu erzeugen, was nur zeigte, wie er Befehle eintippte, die bereits auf den Screenshots zu sehen waren, und die Eingabetaste in CMD drückte, auf besondere Art reagierte. Er erstellte ein Video, das mit böswilliger Compliance gespickt war.

Das 15 Minuten lange Video zeigt bei der Vier-Sekunden-Marke einen Screenshot aus Zoolander, in dem der Protagonist das "Center for Kids Who Can't Read Good" vorstellt. Dann folgen über 14 Minuten dröger Techno-Sound mit Screenshots, die Definitionen, Tastatureingaben und wenig erhellendes zeigen. Dormann zeigt sich zwar verständnisvoll, dass "Leute, die Routinearbeit machen, meist feste Arbeitsabläufe haben, die sie mit gemeinsamen nächsten Schritten durchlaufen".

"Aber ein Video anzufordern, das (zusätzlich zu meinen bereits eingereichten Screenshots) den Vorgang des Tippens und die Windows-Antwort auf dem Bildschirm einfängt, was bringt das jetzt noch?" fragt er. Und die Krönung des Ganzen? Als er das Video bei Microsoft hochladen wollte, schlug der Vorgang über das Microsoft-Portal aufgrund eines 403-Fehlers fehl. Er hat es das Proof of Concept-Video dann beim Konkurrenten Google auf YouTube hochgeladen. Es ist immer wieder schön, wie Microsoft sich in den Fuß schießt.

Bei Microsoft ist Generation Video seit Jahren aktiv. Ich erinnere mich, dass die MVPs für Windows Consumer 2016 zu Windows Insider MVPs umgebrandet wurden. 2019 und 2020 forderten die Microsoft-Mitarbeiter, die für die Vergabe der MVP-Auszeichnung verantwortlich waren, von den MVPs ein "Bewerbungsvideo", warum eine Person besonders geeignet sei. Nur für's Protokoll: Man musste darüber hinaus schon belegen, was man über die letzten 12 Monate gemacht hat.

Ich habe mich jeweils geweigert, ein Video zu erstellen und nur auf meine Bücher, meine MS-Answers-Aktivitäten als Community-Moderator und meine IT-Blogs verwiesen. Da ich im deutschen Blog sehr kritisch über Microsoft berichtete, hatte ich 2020 schon nicht mehr mit dem MVP gerechnet. Zur Bewerbung 2021 schrieb ich, dass die Verantwortlichen kein Video von mir bekämen. Entweder würden meine aufgelisteten Aktivitäten reichen, oder sie mögen sich den MVP auf dem Klo hinter den Spiegel stecken. Hat dann auch geklappt, 2021 war ich kein Windows Insider MVP mehr.

Oh Microsoft, was wären wir nur ohne deine Volten – das Leben wäre echt langweilig.