{"id":273995,"date":"2022-10-17T09:35:23","date_gmt":"2022-10-17T07:35:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273995"},"modified":"2022-10-22T23:40:58","modified_gmt":"2022-10-22T21:40:58","slug":"microsoft-besttigt-windows-patzt-bei-der-erkennung-gefhrlicher-treiber","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/17\/microsoft-besttigt-windows-patzt-bei-der-erkennung-gefhrlicher-treiber\/","title":{"rendered":"Microsoft bestätigt: Windows patzt bei der Erkennung gefährlicher Treiber – Blocklisten nicht verteilt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Eigentlich sollte Windows bekannte, b\u00f6sartige Treiber beim Laden blockieren, so dass diese keinen Schaden anrichten k\u00f6nnen. Zumindest hat Microsoft dies seit Jahren behauptet. Nun hat Microsoft unter der Hand zugegeben, dass man dort gepatzt hat. Denn die Updates, die f\u00fcr diese Blockierung in Windows verantwortlich sind, wurden wohl nie zuverl\u00e4ssig ver\u00f6ffentlicht bzw. aktualisiert. Administratoren k\u00f6nnen die Blocklisten aber manuell aktualisieren.<\/p>\n

<\/p>\n

\"\"Ich wurde zum Wochenende durch Blog-Leser Robert per Mail auf das Thema hingewiesen, bin aber auch \u00fcber die Serie nachfolgender Tweets<\/a> von Dan Goodin auf den Sachverhalt gesto\u00dfen.<\/p>\n

\"Windows<\/a><\/p>\n

Die Kurzfassung aus den Tweets lautet: Jahrelang haben Microsoft-Mitarbeiter behauptet, Windows k\u00f6nne automatisch eine Liste b\u00f6sartiger Treiber blockieren, die regelm\u00e4\u00dfig \u00fcber Windows Update aktualisiert wird. Nun haben sie stillschweigend zugegeben, dass diese Updates nie ver\u00f6ffentlicht wurden.<\/em> Auch Robert schrieb mir folgendes:<\/p>\n

heute bin ich auf nachfolgenden Artikel gesto\u00dfen. Seit also drei Jahren funktioniert der Schutz vor Treiber-Attacken nicht, weil die Liste der gesperrten Treiber nicht aktualisiert wird.<\/p>\n

Dieses Update l\u00e4sst sich laut Artikel nachholen, ein zuk\u00fcnftiges Windowsupdate soll das irgendwann fixen\u2026<\/p>\n

Und die Kernisolierung sollte in Windows aktiviert sein – keine Ahnung was das f\u00fcr die Performance bedeutet.<\/p><\/blockquote>\n

\"Windwos<\/p>\n

Der Artikel How a Microsoft blunder opened millions of PCs to potent malware attack<\/a>, auf den Rober G. sich bezieht, wurde von Dan Goodin bei Arstechnica ver\u00f6ffentlicht.<\/p>\n

Worum geht es?<\/h2>\n

Zum Ansprechen von Ger\u00e4ten (Peripherie, Festplatten, Tastatur, Maus etc.) ben\u00f6tigt Windows entsprechende Treiber, de von Herstellern bereitgestellt werden. Viele Treiber laufen im Adressraum des Windows-Kernels bzw. tauschen mit dem Kernel Daten aus und m\u00fcssen mit entsprechenden Berechtigungen laufen.<\/p>\n

Von Malware wird daher eine als BYOVD (\"bring your own vulnerable driver\") bezeichnete Technik genutzt, um \u00fcber vorhandene Schwachstellen in legitimen Windows Treibern die administrative Kontrolle \u00fcber Windows oder ein Betriebssystem zu erhalten. Ich hatte zum Wochenende im Beitrag BlackByte Ransomware deaktiviert Sicherheitsl\u00f6sungen \u00fcber Windows-Treiber<\/a> \u00fcber einen Fall berichtet, der genau diese Angriffstechnik verwendet.<\/p>\n

Auch wenn die Treiberentwickler eine Schwachstelle patchen, bleiben die alten Treiberversionen oft auf Millionen Ger\u00e4ten im Einsatz, da die Treiber nicht aktualisiert werden. Microsoft behauptete daher seit Jahren, dass man eine Liste bekannter b\u00f6sartiger Treiber pflege, die per Windows Update auf die Maschinen \u00fcbertragen werde. Anhand der Treiberliste k\u00f6nne Windows das Laden solcher b\u00f6sartigen Treiber blockieren.<\/p>\n

Damit ist eigentlich die Gefahr gebannt – ein Argument, auf \"neuer Windows-Versionen\" umzusteigen, da nur dort die Technologie eingesetzt wird. Es gibt sogar Hinweise von Microsoft, wie man bestimmte Probleme mit der sogenannten Kernisolierung, die f\u00fcr diese Treiberblockade zust\u00e4ndig ist, in Windows beheben kann. Ich hatte 2020 im Blog-Beitrag Fix: Windows 10-Treiber durch Kernisolierung blockiert<\/a> \u00fcber einen solchen Fall berichtet.<\/p>\n

Der Windows-Schutz funktioniert nicht<\/h2>\n

In den vergangenen Jahren konnte Malware \u00fcber die BYOVD-Technik eine Reihe erfolgreicher Angriffe durchf\u00fchren. Dan Goodin z\u00e4hlt in seinem Artikel entsprechende Beispiele auf. Das Problem ist Microsoft nat\u00fcrlich bewusst und Redmond hat auch Abwehrma\u00dfnahmen ergriffen, um diese Angriffsvektoren zu blockieren. Am 17. M\u00e4rz 2022 hat Microsoft diesen Beitrag<\/a> ver\u00f6ffentlicht, der aufzeigen soll, wie TPM 2.0, HVCI und weitere Sicherheitstechniken im vom Microsoft definierten \"Secured PC\" solche Angriffe ins Leere laufen lassen sollen.<\/p>\n

Der g\u00e4ngigste Mechanismus zum Blockieren von Treibern ist eine Kombination aus Speicherintegrit\u00e4t und HVCI, schreibt Goodin. Das K\u00fcrzel HVCI steht f\u00fcr Hypervisor-Protected Code Integrity<\/a>. Diese Funktion ist in Windows 10 und Windows 11 implementiert und soll verhindern, dass b\u00f6swillige Treiber geladen werden und Schaden unter Windows anrichten k\u00f6nnen. Microsoft gibt im Supportbeitrag auch Hinweise, was Administratoren tun k\u00f6nnen, wenn die Schutzfunktion inkompatible Treiber blockiert und Windows nicht mehr wie erwartet funktioniert.<\/p>\n

\u00dcber Jahre lautet das Credo Microsofts, dass man das Problem mit sch\u00e4dlichen Treibern durch die obigen Schutzmechanismen im Griff habe. Allerding beobachteten Sicherheitsforscher wie Will Dormann, dass verschiedene aus BYOVD-Angriffen als b\u00f6sartig bekannte Treiber problemlos unter Windows, trotz aktivierter Schutzmechanismen, geladen wurden.<\/p>\n

\"Windows<\/a><\/p>\n

In obigem Tweet<\/a> weist Will Dormann darauf hin, dass ein f\u00fcr Schwachstellen anf\u00e4lliger Treiber namens WinRing0 <\/em>auf seinen Laborrechnern, auch bei aktiviertem HVCI, problemlos geladen wurde. Dormann beklagt, dass die Dokumentation Microsofts verwirrend sei. Die\u00a0 \"Microsoft Vulnerable Driver Blocklist\" bekommt nur der zu sehen, der eine Insider Preview Build von Windows 11 aus dem \"Dev Channel\"\u00a0 verwendet. Andererseits gibt es bei Microsoft Artikel zu Windows 10 und Windows Server 2016, die die Verwendung der \"Microsoft Vulnerable Driver Blocklist\" erw\u00e4hnen.<\/p>\n

Goodin hatte sogar bei Microsoft nachgefragt, ob mehr Details zu den Schutzmechanismen erh\u00e4ltlich seien, bekam von Microsoft aber die R\u00fcckmeldung, dass man nichts mitzuteilen habe.<\/p>\n

Aber durch die Beobachtungen von Dormann geriet das Thema ist den Fokus diverse Leute und schlie\u00dflich musste ein Microsoft-Projektmanager zugeben, dass beim Aktualisierungsprozess f\u00fcr die Treiber-Blockliste etwas schief gelaufen war. Das Ganze geht aus nachfolgendem Tweet<\/a> hervor, in dem Jeffry Sutherland von Microsoft auf einen Tweet von Brian in Pittsburg antwortet.<\/p>\n

\"Windows<\/a><\/p>\n

Der Manager best\u00e4tigt, dass es Probleme mit der Verteilung der Blocklisten per Update gibt und dass man die Dokumentation aktualisiert habe. Microsoft werde \"die Probleme mit seinem Wartungsprozess beheben, die verhindert haben, dass Ger\u00e4te Updates f\u00fcr die Richtlinie erhalten\".<\/p>\n

Erg\u00e4nzung:<\/strong> Dormann hat in diesem Tweet<\/a> das Thema nochmals aufgegriffen und sieht sich best\u00e4tigt.<\/p>\n

Manuelle Treiber-Blocklist-Updates<\/h2>\n

Zeitgleich mit obigem Tweet ver\u00f6ffentlichte Microsoft ein Tool<\/a> (siehe Abschnitt Steps to download and apply the vulnerable driver blocklist binary) <\/em>samt Anleitung, mit der Windows 10\/11-Nutzer die seit Jahren nicht ausgerollten Blocklisten-Updates manuell bereitstellen k\u00f6nnen.<\/p>\n

Goodin weist zudem auf eine PowerShell-L\u00f6sung von Will Dormann f\u00fcr Administratoren hin, mit der sich die Blocklisten-Updates manuell \u00fcber WDAC aktualisieren lassen. Hierzu ist der folgende Befehl in einer administrativen Power-Shell-Konsole einzugeben:<\/p>\n

ApplyWDACPolicy -auto -enforce<\/code><\/p>\n

Das sind aber nur L\u00f6sungen, die diese Treiber-Blockliste einmalig aktualisieren. Administratoren m\u00fcssen das Ganze zyklisch wiederholen, um die Liste aktuell zu halten. Aktuell ist unbekannt, wann diese Blocklisten-Updates automatisch verteilt werden. Dan Goodin schreibt in seinem ArsTechnica-Artikel<\/a>, dass bei ihm nach einem manuellen Update der Blocklisten ein Treiber mit bekannten Schwachstellen, die von Malware ausgenutzt werden, unter Windows blockiert werden.<\/p>\n

Der Fall wirft nat\u00fcrlich ein Licht auf den Umstand, dass bei der Unternehmenskultur von Microsoft einiges im Argen liegt. Ohne die Tests von Will Dormann und anderen Sicherheitsforschern h\u00e4tte sich in diesem Fall nichts ge\u00e4ndert. Microsoft h\u00e4tte sein Potemkinsches Dorf<\/a> der sicheren HVCI-Umgebung weiter gepflegt, aber die Systeme der Anwender w\u00e4ren weiterhin diesbez\u00fcglich offen wie ein Scheunentor und ungesch\u00fctzt geblieben.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nWindows 10 V1803: HCVI verursacht pl\u00f6tzlich Teiberfehler 39<\/a>
\nFix: Windows 10-Treiber durch Kernisolierung blockiert<\/a>
\nBlackByte Ransomware deaktiviert Sicherheitsl\u00f6sungen \u00fcber Windows-Treiber<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Eigentlich sollte Windows bekannte, b\u00f6sartige Treiber beim Laden blockieren, so dass diese keinen Schaden anrichten k\u00f6nnen. Zumindest hat Microsoft dies seit Jahren behauptet. Nun hat Microsoft unter der Hand zugegeben, dass man dort gepatzt hat. Denn die Updates, die f\u00fcr … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,115,3288],"class_list":["post-273995","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-treiber","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273995","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273995"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273995\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273995"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273995"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273995"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}