{"id":311261,"date":"2025-05-07T10:18:56","date_gmt":"2025-05-07T08:18:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311261"},"modified":"2025-05-07T15:13:26","modified_gmt":"2025-05-07T13:13:26","slug":"achtung-bei-iventoy-es-werden-obskure-zertifikate-und-treiber-installiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/07\/achtung-bei-iventoy-es-werden-obskure-zertifikate-und-treiber-installiert\/","title":{"rendered":"Achtung bei iVentoy, es werden obskure Zertifikate und Treiber installiert"},"content":{"rendered":"

\"Stop[English<\/a>]Kurze Warnung an Leute aus der Blog-Leserschaft, die das Tool iVentoy zur Verteilung von Betriebssystem-Images \u00fcber ein Netzwerk und einen PXE-Server einsetzen. Es gibt aktuell eine Diskussion, dass das Tool (aktuell Version 1.0.2) einen unsicheren Kernel-Driver sowie ein obskures Zertifikat unter Windows installiert. Solange dieser Punkt nicht sauber gekl\u00e4rt ist, kann ich nur\u00a0 raten, die \"Finger von diesem Tool zu lassen\". Hier einige Informationen, was bisher bekannt ist. Erg\u00e4nzung<\/strong>: Der Entwickler hat bereits reagiert und Version 1.0.21 herausgebracht.<\/p>\n

<\/p>\n

Was ist iVentoy?<\/h2>\n

\"\"Bei iVentoy<\/a> (nicht zu verwechseln mit dem Tool Ventoy<\/a>, welches USB-Boot-Sticks zur Betriebssysteminstallation erstellen kann), handelt es sich um ein Tool, um Betriebssystemabbilder per Netzwerk zu verteilen.<\/p>\n

\"iVentoy\"<\/a><\/p>\n

Auf der Webseite des Projekts hei\u00dft es, dass\u00a0iVentoy eine erweiterte Version des PXE-Servers sei, mit der sich Betriebssysteme auf mehreren Rechnern gleichzeitig \u00fcber das Netzwerk booten und installieren lassen.<\/p>\n

iVentoy sei extrem einfach, ohne komplizierte Konfiguration, zu bedienen. Der Administrator legt einfach die ISO-Datei mit dem Installationsabbild in den angegebenen Speicherort und w\u00e4hlt PXE-Boot<\/em> in der Client-Maschine. Dann wird das Betriebssystemabbild (bzw. Installationsabbild) \u00fcber das Netzwerk von PXE-Boot auf dem Client geladen und ausgef\u00fchrt.<\/p>\n

iVentoy unterst\u00fctzt x86 Legacy BIOS, IA32 UEFI, x86_64 UEFI und ARM64 UEFI-Modus zur gleichen Zeit. iVentoy unterst\u00fctzt laut Webseite mehr als 110 g\u00e4ngige\u00a0 Varianten von Betriebssystemen (Windows\/WinPE\/Linux\/VMware).<\/p>\n

Hintergrund-Information: Der Hauptentwickler und Maintainer des Ventoy<\/a>-Projekts ist <\/span>Hailong Sun, auch bekannt als longpanda. Longpanda ist andererseits auch der Entwickler von iVentoy.\u00a0<\/span><\/p><\/blockquote>\n

Diskussion \u00fcber Sicherheitsprobleme<\/h2>\n

Benedikt hat mich per E-Mail kontaktiert (danke) und wies mich auf den reddit.com-Beitrag\u00a0iVentoy tool injects malicious certificate and driver during Win install (vulnerability found today)<\/a> vom 6. Mai 2025 hin. Der Thread-Starter schreibt, dass er gerade \u00fcber einen\u00a0Bericht \u00fcber eine Sicherheitsl\u00fccke in iVentoy sto\u00dfen sei. Ventoy sei bekannt f\u00fcr sein sehr n\u00fctzliches Tool zur Erstellung von bootf\u00e4higen USB-Ger\u00e4ten.<\/p>\n

Sicherheitproblem in iVentoy gefunden<\/h3>\n

Auf GitHub gibt es den aktuellen Eintrag\u00a0iVentoy installing unsafe Windows Kernel drivers #106<\/a>, der sich mit dem Problem besch\u00e4ftig. Dort hei\u00dft es, dass iVentoy 1.0.2 von der GitHub-Seite<\/a> \u00fcber folgende Archive<\/p>\n

iventoy-1.0.20-linux-free.tar.gz, iventoy-1.0.20-win32-free.zip, iventoy-1.0.20-win64-free.zip<\/code><\/pre>\n
unsichere Windows-Kernel-Treiber installiert. Alle diese Archivdateien enthalten\u00a0 den Eintrag \\data\\iventoy.dat<\/em>. Die .dat-Datei wird zur Ausf\u00fchrungszeit von der iVentoy-App\u00a0 im RAM in \\data\\iventoy.dat.xz<\/em> entschl\u00fcsselt. Der Ersteller des GitHub-Eintrags #106 hat ein Python-Script geschrieben, um das entschl\u00fcsselte Ergebnis zu analysieren und kam zu keinem positiven Ergebnis.<\/p>\n
VirusTotal und Defender schlagen Alarm<\/h3>\n
Wenn die entschl\u00fcsselte iventoy.dat.xz<\/em> mit 7zip ge\u00f6ffnet werde, f\u00e4nden sich einige der extrahierten Dateien, die mit positive Ergebnisse bei Virustotal.com und Windows Defender gelistet werden. Die Datei\u00a0iventoy.dat.xz\\iventoy.dat.\\win\\wintool.tar.xz<\/em> enth\u00e4lt wohl ein obskures Zertifikat, welches von Virustotal als \"sch\u00e4dlich\" ausgewiesen wird.<\/p>\n
\"wintool.tar.xz<\/a><\/p>\n
Weiterhin hei\u00dft es, dass die Analyse von \"iventoy.dat.xz\\iventoy.dat.\\win\\vtoypxe64.exe\" zeigt, dass sie ein selbstsigniertes Zertifikat mit dem Namen \"EV\"-Zertifikat \"JemmyLoveJenny EV Root CA0\" bei offset=0x0002C840 length=0x70E enth\u00e4lt. Und es hei\u00dft, dass iVentoy unsichere Windows-Kernel-Treiber installiert.<\/p>\n
Eine Warnung von Talos<\/h2>\n
Bei diesem Zertifikat l\u00e4uten alle Alarmglocken, denn 2023 hat Talos-Security den Beitrag\u00a0\u00a0Old certificate, new signature: Open-source tools forge signature timestamps on Windows drivers<\/a> mit einer Warnung gebracht.<\/p>\n
Cisco Talos hat beobachtet, dass Bedrohungsakteure eine Windows-Richtlinienl\u00fccke ausnutzen, die das Signieren und Laden von nicht signierten Kernel-Modus-Treibern mit einem Signatur-Zeitstempel vor dem 29. Juli 2015 erlaubt. Laut Talos nutzen die Akteure mehrere Open-Source-Tools, die das Signierdatum von Kernel-Mode-Treibern \u00e4ndern. Ziel ist es, b\u00f6sartige und ungepr\u00fcfte Treiber, die mit abgelaufenen Zertifikaten signiert sind, in Windows zu laden.<\/p>\n
Cisco Talos Sicherheitsforscher haben mehr als ein Dutzend Code-Signatur-Zertifikate mit Schl\u00fcsseln und Passw\u00f6rtern in einer PFX-Datei beobachtet, die auf GitHub gehostet wird und in Verbindung mit diesen Open-Source-Tools verwendet wird. Im Beitrag wird auch das obige Zertifikat erw\u00e4hnt.<\/p>\n
Die meisten Treiber, die Talos identifizieren konnte, enthielten einen Sprachcode Simplified Chinese in ihren Metadaten. Das deutet auf chinesische Muttersprachler als Urheber hin. Cisco Talos schrieb 2023, dass man au\u00dferdem einen Fall identifiziert habe, in dem eines dieser Open-Source-Tools verwendet wurde, um geknackte Treiber neu zu signieren und so die digitale Rechteverwaltung (DRM) zu umgehen.<\/p>\n
Cisco Talos hatte einen zweiten Blog-Beitrag ver\u00f6ffentlicht, der den realen Missbrauch dieser L\u00fccke durch einen undokumentierten b\u00f6sartigen Treiber namens RedDriver zeigt.\u00a0Ich hatte im Juli 2023 im Beitrag\u00a0Windows: Weiterhin Malware in Kernel-Treibern ladbar (RedDriver-Angriff)<\/a> \u00fcber das Szenario berichtet.<\/p>\n
Finger weg – auch bei Ventoy – bis zur Kl\u00e4rung<\/h2>\n
An dieser Stelle w\u00fcrde ich f\u00fcr \"Finger weg von iVentoy\" pl\u00e4dieren, bis der gesamte Sachverhalt gekl\u00e4rt ist. Das triggert nat\u00fcrlich sofort die Frage, ob die nach der Sicherheit von Ventoy, da es vom gleichen Entwickler stammt und auch einige blob-Dateien mit unbekanntem Inhalt enth\u00e4lt.\u00a0<\/span><\/p>\n
Aktuell liegen mir nur die beiden verlinkten Threads mit ihren Informationen vor – die ich f\u00fcr weitere Recherchen der Leserschaft mal im Raum stehen kann. Ich kann heute und die kommenden Tage wenig testen bzw. recherchieren, da ich plane, ein paar Tage offline zu sein. Erg\u00e4nzung:<\/strong> Beachtet den nachfolgenden Kommentar auf iVentoy 1.0.21 – ob da das Problem behoben ist, wei\u00df ich nicht endg\u00fcltig.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Kurze Warnung an Leute aus der Blog-Leserschaft, die das Tool iVentoy zur Verteilung von Betriebssystem-Images \u00fcber ein Netzwerk und einen PXE-Server einsetzen. Es gibt aktuell eine Diskussion, dass das Tool (aktuell Version 1.0.2) einen unsicheren Kernel-Driver sowie ein obskures Zertifikat … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,7459,301,3694,2557],"tags":[8583,4328,3659,3288],"class_list":["post-311261","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-software","category-windows","category-windows-10","category-windows-server","tag-iventoy","tag-sicherheit","tag-tool","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311261","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311261"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311261\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311261"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311261"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311261"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}