{"id":229707,"date":"2020-03-18T10:04:43","date_gmt":"2020-03-18T09:04:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229707"},"modified":"2020-03-18T20:19:45","modified_gmt":"2020-03-18T19:19:45","slug":"secure-core-pcs-schtzt-windows-gegen-treiberangriffe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/18\/secure-core-pcs-schtzt-windows-gegen-treiberangriffe\/","title":{"rendered":"Secure-Core PCs sch&uuml;tzen Windows gegen Treiberangriffe"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>[English]Das Windows Platform Security Team geht in einem Beitrag auf die Technik ein, dass Secure-Core PCs Windows gegen Angriffe auf den Kernel, z.B. durch kompromittierte Treiber, sch\u00fctzen k\u00f6nnen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg02.met.vgwort.de\/na\/224b6c07b7dc45d7be7ecdd3343261d5\" width=\"1\" height=\"1\"\/>Ich hatte die Information bereits gestern gelesen, bin aber erneut \u00fcber den nachfolgenden Tweet auf diesen Beitrag aufmerksam geworden. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Cool new blog on preventing Windows driver attacks against EDRs and EPP with Secured-core PCs. Check it out!! <a href=\"https:\/\/t.co\/nRCG3VlwP9\">https:\/\/t.co\/nRCG3VlwP9<\/a> <a href=\"https:\/\/t.co\/KRQt5Bn3ih\">pic.twitter.com\/KRQt5Bn3ih<\/a><\/p>\n<p>\u2014 Dave dwizzzle Weston (@dwizzzleMSFT) <a href=\"https:\/\/twitter.com\/dwizzzleMSFT\/status\/1239946749625556992?ref_src=twsrc%5Etfw\">March 17, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Leute von Microsoft arbeiten sich in diesem Beitrag am Thema erlangen von Kernel-Privilegien durch Ausnutzung legitimer Kernel-Treiber ab.<\/p>\n<h2>Kernel-Treiber f\u00fcr Privilege Escalation missbrauchen<\/h2>\n<p>Der Erwerb von Kernel-Privilegien durch Ausnutzung legitimer, aber anf\u00e4lliger Kernel-Treiber ist zu einem etablierten Werkzeug der Wahl f\u00fcr fortgeschrittene Angreifer geworden. Mehrere Malware-Angriffe, darunter RobbinHood, Uroburos, Derusbi, GrayFish und Sauron sowie Kampagnen des Bedrohungsakteurs STRONTIUM, haben Treiber-Schwachstellen (z.B. <a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2008-3431\/\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2008-3431<\/a>, <a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2013-3956\/\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2013-3956<\/a>, <a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2009-0824\/\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2009-0824<\/a>, <a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2010-1592\/\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2010-1592<\/a>,usw.) ausgenutzt, um Kernel-Privilegien zu erlangen und in einigen F\u00e4llen Sicherheitsagenten auf kompromittierten Rechnern effektiv zu deaktivieren.<\/p>\n<h2>Secured-Core-PCs als Gegenma\u00dfnahme<\/h2>\n<p>Im Oktober 2019 hatte Microsoft eine neue Entwicklung, die Secured-Core-PCs mit zus\u00e4tzlichem Schutz vor Firmware-Angriffen, vorgestellt. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/22\/microsoft-stellt-secured-core-pcs-mit-firmware-schutz-vor\/\" target=\"_blank\" rel=\"noopener noreferrer\">Microsoft stellt Secured-core PCs mit Firmware-Schutz vor<\/a> dar\u00fcber berichtet. <\/p>\n<p>Secured-Core-PCs sind Ger\u00e4te, die eine Reihe von Sicherheitstechnologien verwenden, um Angriffe auf Firmware-Ebene zu verhindern. Microsoft will dazu einen softwarebasierten Schutz auf Betriebssysteme und in verbundene Dienste integrieren. Microsoft arbeitete intern und extern mit den OEM-Partnern Lenovo, HP, Dell, Panasonic, Dynabook und Getac zusammen, um eine neue Ger\u00e4teklasse, die Secured-Core-PCs, einzuf\u00fchren.  <\/p>\n<p>Diese Secured-Core-PCs m\u00fcssen \"eine Reihe spezifischer Ger\u00e4teanforderungen, die die Sicherheits-Best-Practices der Isolierung und des minimalen Vertrauens auf die Firmware-Schicht oder den Ger\u00e4tekern, der das Windows-Betriebssystem unterst\u00fctzt, anwenden\" erf\u00fcllen. Die Ger\u00e4te richten sich an Unternehmen, die mit hochsensiblen Informationen umgehen, wie z.B. Finanzdienstleister, staatliche Institutionen und so weiter.  <\/p>\n<p>Die Details, wie Microsoft sich die Absicherung auf Secured-Core-PCs mittels TPM 2.0 oder h\u00f6her, Windows Defender System Guard, HVCI Kernel DMA-Schutz etc. vorstellt, sind in <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2020\/03\/17\/secured-core-pcs-a-brief-showcase-of-chip-to-cloud-security-against-kernel-attacks\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> nachzulesen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das Windows Platform Security Team geht in einem Beitrag auf die Technik ein, dass Secure-Core PCs Windows gegen Angriffe auf den Kernel, z.B. durch kompromittierte Treiber, sch\u00fctzen k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,3694],"tags":[3081,4328,4378],"class_list":["post-229707","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-windows-10","tag-geraete","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229707","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229707"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229707\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}