{"id":283690,"date":"2023-07-13T00:13:00","date_gmt":"2023-07-12T22:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283690"},"modified":"2023-07-13T12:08:14","modified_gmt":"2023-07-13T10:08:14","slug":"windows-weiterhin-malware-in-kernel-treibern-ladbar-reddriver-angriff","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/13\/windows-weiterhin-malware-in-kernel-treibern-ladbar-reddriver-angriff\/","title":{"rendered":"Windows: Weiterhin Malware in Kernel-Treibern ladbar (RedDriver-Angriff)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsofts Ma\u00dfnahmen, um das Laden von b\u00f6sartigen Kernel-Treibern zu verhindern, scheinen hinten und vorne nicht zu greifen. Ich habe das Thema bereits seit Wochen auf dem Radar, weil die Treiber-Block-Liste wohl nicht wirklich funktioniert. Nun haben Sicherheitsforscher von Talos eine Kampagne offen gelegt, bei dem Open Source-Tools gef\u00e4lschte Signatur-Zeitstempel verwenden, um b\u00f6sartige Windows-Treiber zu laden.<\/p>\n

<\/p>\n

\"\"Microsoft hat seit Windows Vista in den 64-Bit-Windows-Betriebssystemen die Vorgabe erlassen, dass Kernel-Mode-Treiber mit einem Zertifikat einer verifizierten Zertifizierungsstelle digital signiert werden m\u00fcssen. Ohne ein solches Zertifikat lassen sich die Treiber nicht mehr laden. Zudem enthalten neuere Windows-Versionen auch die M\u00f6glichkeit, b\u00f6sartige Treiber zu blockieren. Allerdings werden immer wieder F\u00e4lle bekannt, wo diese Mechanismen versagen. Und Microsoft hat noch einige \"Ausnahmen\" (Upgrade von Altsystemen auf Windows 10 V1607, Treiber mit einem Zertifikat vor dem 15. Juli 2015 signiert, Secure Boot deaktiviert) zugelassen, wo die Signatur-Pr\u00fcfung nicht greift. Die Kollegen von Bleeping Computer haben die Ausnahmen in diesem Beitrag<\/a> erw\u00e4hnt.<\/p>\n

Talos-Warnung zu RedDriver-Angriff<\/h2>\n

Ich bin auf Twitter \u00fcber einen entsprechenden Tweet von Talos auf das Thema gesto\u00dfen, welches deren Sicherheitsforscher im Blog-Beitrag Old certificate, new signature: Open-source tools forge signature timestamps on Windows drivers<\/a> aufgegriffen haben. Dort lassen sich Details zum Thema nachlesen.<\/p>\n

\"Windows:<\/a><\/p>\n

In Kurzfassung: Cisco Talos ist darauf gesto\u00dfen, dass Bedrohungsakteure eine Windows-Richtlinienl\u00fccke ausnutzen, die das Signieren und Laden von nicht signierten Kernel-Modus-Treibern mit einem Signatur-Zeitstempel vor dem 15. Juli 2015 erlaubt. Die Akteure verwenden dabei mehrere Open-Source-Tools, die das Signierdatum von Kernel-Mode-Treibern \u00e4ndern. Ziel ist es, ungepr\u00fcfte Treiber (mit b\u00f6sartigem Inhalt) in Windows zu laden, obwohl diese Treiberdaten mit abgelaufenen Zertifikaten signiert sind.<\/p>\n

Bei der Analyse solcher F\u00e4lle haben die Sicherheitsforscher von Talos mehr als ein Dutzend Code Signing-Zertifikate mit Schl\u00fcsseln und Passw\u00f6rtern in einer PFX-Datei auf GitHub gefunden, die in Verbindung mit diesen Open-Source-Tools verwendet werden. Die meisten dieser auff\u00e4lligen Treiber, die einen Sprachcode in ihren Metadaten enthielten, verwenden den Sprachcode Simplified Chinese. Das deutet darauf hin, dass die Akteure, die diese Tools verwenden, h\u00e4ufig chinesische Muttersprachler sind.<\/p>\n

Cisco Talos hat au\u00dferdem einen Fall identifiziert, in dem eines dieser Open-Source-Tools verwendet wurde, um geknackte Treiber neu zu signieren und so die digitale Rechteverwaltung (DRM) von Windows zu umgehen. Die Sicherheitsforscher haben einen Blog-Beitrag ver\u00f6ffentlicht<\/a>, der den realen Missbrauch dieser L\u00fccke durch einen undokumentierten b\u00f6sartigen Treiber namens RedDriver<\/em> zeigt. Ein bisher undokumentierter treiberbasierter Browser-Hijacker namens RedDriver zielt auf chinesischsprachige Nutzer und Internetcaf\u00e9s.<\/p>\n

Die Talos Sicherheitsforscher haben w\u00e4hrend der Recherche mit Microsoft Kontakt aufgenommen, um das Unternehmen \u00fcber die Sicherheitsl\u00fccke zu informieren. Microsoft hat daraufhin alle von Talos identifizierten, missbrauchten Zertifikate gesperrt und einen Hinweis ADV230001<\/a> ver\u00f6ffentlicht.<\/p>\n

Microsoft ADV230001<\/h2>\n

Im Sicherheitshinweis ADV230001<\/a> vom 11. Juli 2023 geht Microsoft auf das Thema ein und schreibt, dass man k\u00fcrzlich dar\u00fcber informiert wurde, dass vom Microsoft Windows Hardware Developer Program (MWHDP) zertifizierte Treiber in b\u00f6swilliger Weise f\u00fcr Post-Exploitation-Aktivit\u00e4ten verwendet wurden. Bei diesen Angriffen verschaffte sich der Angreifer vor der Verwendung der Treiber administrative Rechte auf den angegriffenen Systemen.<\/p>\n

Aus Redmond hei\u00dft es, dass man festgestellt habe, dass sich die Aktivit\u00e4t auf den Missbrauch mehrerer Entwicklerprogrammkonten beschr\u00e4nkte und keine Kompromittierung von Microsoft-Konten festgestellt wurde. Um Nutzer vor dieser Bedrohung zu sch\u00fctzen, wurden die Verk\u00e4uferkonten der Partner suspendiert und Blockiererkennungen f\u00fcr alle gemeldeten b\u00f6sartigen Treiber implementiert. Hier<\/a> ist von 133 Treibern die Rede.<\/p>\n

Beim Lesen des letzten Absatzes klingelte bei mir etwas, und ich hatte mein D\u00e9j\u00e0-vu-Erlebnis. Eine kurze Suche im Blog warf den Beitrag Microsoft-Zertifikate zur Signatur von Malware missbraucht (Dez. 2022)<\/a>. Damals wurde von Microsoft das Dokument ADV220005<\/a> vom 13. Dezember 2022 ver\u00f6ffentlicht. Und ich habe keinen Hinweis darauf gefunden, dass die obige Schwachstelle (Treibersignierung vor dem 15. Juli 2015) geschlossen wurde. Da machen vermutlich die Altlasten mit Windows 10 LTSC 2015 und 2016 noch Probleme.<\/p><\/blockquote>\n

Microsoft empfiehlt die neuesten Windows-Updates vom Juli 2023 zu installieren und sicherzustellen, dass die installierten Antiviren- und Endger\u00e4teerkennungsprodukte mit den neuesten Signaturen ausgestattet und aktiviert sind, um diese Angriffe zu verhindern. Denn zum 11. Juli 2023 wurden Windows-Sicherheitsupdates ver\u00f6ffentlicht, die den Treibern und Treibersignaturzertifikaten f\u00fcr die betroffenen Dateien das Vertrauen entziehen. Es gibt dazu einen eigenen Support-Beitrag Notice of additions to the Windows Driver.STL revocation list<\/a>.<\/p>\n

Dar\u00fcber hinaus hat Microsoft Blocking-Erkennungen implementiert (Microsoft Defender 1.391.3822.0 und neuer), um Nutzer vor rechtm\u00e4\u00dfig signierten Treibern zu sch\u00fctzen, die in b\u00f6ser Absicht f\u00fcr Post-Exploit-Aktivit\u00e4ten manipuliert wurden und dann verwendet werden.<\/p>\n

Drama mit der Treiber-Block-Liste<\/h2>\n

Eigentlich sollte Windows bekannte, b\u00f6sartige Treiber beim Laden blockieren, so dass diese keinen Schaden anrichten k\u00f6nnen. Zumindest hat Microsoft dies seit Jahren behauptet (siehe auch meinen Blog-Beitrag Sicherheitsfunktion erm\u00f6glicht Treiber-Blocklisten in Windows 10, 11 und Windows Server<\/a>). Microsoft arbeitet dazu mit Treiber-Blocklisten und Sicherheitsfunktionen wie Windows Defender Application Control oder HVCI in Windows.<\/p>\n

Im Oktober 2022 hatte ich im Blog-Beitrag Microsoft best\u00e4tigt: Windows patzt bei der Erkennung gef\u00e4hrlicher Treiber \u2013 Blocklisten nicht verteilt<\/a> das Problem angesprochen, dass dieser versprochene Mechanismus nicht mehr als ein Placebo war. Denn die Verteilung der Blocklisten auf die Endpunkte (sprich die Windows-Systeme der Anwender) klappte nicht. Ich hatte dort einige diesbez\u00fcgliche Hinweise von Sicherheitsforscher Will Dormann aufgegriffen, der das best\u00e4tigt.<\/p>\n

\"Windows<\/p>\n

Ich folge Will Dormann auf Twitter und in den letzten Monaten sind mir mehrfach Tweets aufgefallen, wo er darauf hinweist, dass sch\u00e4dliche Treiber trotz Blockliste geladen werden. Obiger Tweet vom 26. Mai 2023 ist eine Antwort auf einen Post, wo ein Tool zum Beenden gesch\u00fctzte Anti-Malware-Prozesse erw\u00e4hnt wird. Dormann konstatiert, dass die Blockierung von Treibern nicht wirklich funktioniert. Er konnte einen sch\u00e4dlichen Treiber auf einem vollst\u00e4ndig gepatchten Windows 11 22H2-System laden, obwohl diese in der von MS empfohlenen Liste der Treibersperrregeln enthalten ist. Die Microsoft-Treibersperrliste wird nur 1-2 Mal pro Jahr an die Endger\u00e4te (Windows-Systeme) verteilt.<\/p>\n

\"Windows<\/p>\n

Ich habe mal in meinem Bookmark-Haufen gew\u00fchlt – obiger Tweet vom Mai 2023 enth\u00e4lt ein \u00c4u\u00dferung von Dormann, dass ein vollst\u00e4ndig gepatchtes Windows 11 22H2-System von den 554 x86-64-Treibern in der LOLDrivers-Liste 205 zul\u00e4sst. Oder anders ausgedr\u00fcckt, die Microsoft Vulnerable Driver Blocklist blockiert etwa 63% der bekannten anf\u00e4lligen Treiber.<\/p>\n

Bei mir bleibt ein schlechtes Gef\u00fchl diesbez\u00fcglich zur\u00fcck, und ich w\u00fcrde mich nicht auf die Microsoft Treiber-Sperrliste oder weitere Schlenker a la \"wir haben ein Entwicklerkonto gesperrt\" verlassen.<\/p>\n

Aber hey, daf\u00fcr begl\u00fcckt Windows Nutzer immer wieder mit ungefragten Updates veralteter Treiber. Ende Juni 2023 hatte Georg mich kontaktiert und schrieb: \"Soeben musste ich feststellen, dass Win 10 Pro 22H2 seit 02. Juni 2023 wieder ungefragt veraltete Treiber f\u00fcr die integrierte Grafikkarte (Intel HD 620 [Intel Corporation – Display – 27.20.100.8729] ) und den externen USB LAN Adapter von Realtek (RTL8153(B)) [Realtek – Extension – 10.44.0.2] installiert, obwohl ich dies per Gruppenrichtlinie bereits am 30. November 2022 deaktiviert habe. Ich musste feststellen, dass vorgenannte Gruppenrichtlinie auf \"default\" gestellt worden ist.
\nAktuelle Treiber sind v31.0.101.2125 f\u00fcr die Grafikkarte und vv10.59.20.0420 f\u00fcr den Realtek USB-LAN-Adapter).
\nEvtl. betrifft dies auch andere Blog-Leser.\"<\/em> Hatte es seinerzeit nicht thematisiert, und h\u00e4nge es hier einfach mal an.<\/p>\n

Und weil es auch noch in meinem \"Stack\" steckt: Frank hat auf administrator.de vor einiger Zeit das Thema \"Inkompatible Treiber entfernen\" im Beitrag Windows 10 Kernisolierung: Inkompatible Treiber entfernen<\/a> aufgegriffen. Dort zeigt er, wie er bestimmte H\u00fcrden unter Windows 10 nehmen musste, um nicht mit mit der Kernisolierung zu kollidieren.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (11. Juli 2023)<\/a>
\nPatchday: Windows 10-Updates (11. Juli 2023)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (11. Juli 2023)<\/a>
\nWindows 7\/Server 2008 R2; Server 2012 R2: Updates (11. Juli 2023)<\/a>
\nMicrosoft Office Updates (11. Juli 2023)<\/a><\/p>\n

Office und Windows HTML RCE-Schwachstelle CVE-2023-36884 erlaubt System\u00fcbernahme<\/a>
\nWindows: Weiterhin Malware in Kernel-Treibern ladbar (RedDriver-Angriff)<\/a>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsofts Ma\u00dfnahmen, um das Laden von b\u00f6sartigen Kernel-Treibern zu verhindern, scheinen hinten und vorne nicht zu greifen. Ich habe das Thema bereits seit Wochen auf dem Radar, weil die Treiber-Block-Liste wohl nicht wirklich funktioniert. Nun haben Sicherheitsforscher von Talos eine … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[4328,115,4315,3288],"class_list":["post-283690","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-sicherheit","tag-treiber","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283690","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283690"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283690\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283690"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283690"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283690"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}