Schwachstelle in Microsofts Blockliste lässt Cyberkriminelle Sicherheitssoftware ausschalten – Druck auf Microsoft wächst.
Kriminelle nutzen zunehmend legitime, aber veraltete Treiber, um Sicherheitsprogramme auf Windows-PCs zu deaktivieren. Diese als „Bring Your Own Vulnerable Driver“ (BYOVD) bekannte Technik stellt eine wachsende Bedrohung dar und stellt die Wirksamkeit von Microsofts zentraler Abwehr, der Vulnerable Driver Blocklist, infrage. Zuletzt gelang es Angreifern mit einem über zehn Jahre alten, signierten Treiber, Endpoint-Schutz zu beenden.
BYOVD: Der Türöffner für Ransomware
Die Methode ist für Cyberkriminelle attraktiv: Sie schleusen einen anerkannten, digital signierten Treiber mit einer bekannten Schwachstelle ins System ein. Durch Ausnutzung dieses Fehlers erlangen sie Kernel-Rechte – die höchste Zugriffsebene. Von dort aus können sie Prozesse von Sicherheitssoftware wie Endpoint Detection and Response (EDR)-Tools beenden, bevor sie ihre eigentliche Schadsoftware, etwa Ransomware, installieren.
Aktuelle Erpressungstrojaner wie „Reynolds“ oder „CrazyHunter“ bündeln diese anfälligen Treiber bereits mit ihrem Code. In einer Kampagne wurde der Treiber „NsecSoft NSecKrnl“ missbraucht, um Sicherheitsprogramme verschiedenster Hersteller abzuschalten. Die Angriffe werden immer gezielter.
Microsofts Abwehr: Eine Blockliste mit Lücken
Microsoft setzt auf die Vulnerable Driver Blocklist als Hauptschutz. Diese ist in die Core Isolation von Windows Security integriert und auf modernen Windows-11-Systemen mit aktivierter Memory Integrity standardmäßig eingeschaltet. Sie soll verhindern, dass das Betriebssystem bekannte, kompromittierte Treiber lädt.
Wer die neuen Schutzfunktionen von Windows 11 wie Core Isolation und Memory Integrity nutzen möchte, muss dafür nicht unbedingt einen neuen PC kaufen. Ein kostenloser PDF‑Report zeigt legal und ohne Datenverlust, wie Sie Windows 11 auch auf offiziell inkompatibler Hardware installieren – inklusive praktischer Schritt‑für‑Schritt‑Anleitung, damit Sie von aktuellen Sicherheitsverbesserungen profitieren. Ihr Gratis-Report: Windows 11 trotz inkompatibler Hardware installieren
Die Liste entsteht in Zusammenarbeit mit Hardwareherstellern und Sicherheitsforschern. Wird eine kritische Schwachstelle gefunden, kann der Treiber gesperrt werden. Seit dem Windows-11-22H2-Update ist der Schutz für neue Geräte voreingestellt.
Kritik: Updates kommen zu selten
Trotzdem steht die Blockliste in der Kritik. Ein Hauptproblem: Sie wird nur etwa ein- bis zweimal jährlich mit großen Windows-Updates aktualisiert. Diese langsame Taktung öffnet ein gefährliches Zeitfenster. Neu entdeckte Schwachstellen können so monatelang ausgenutzt werden, bevor sie blockiert werden.
Experten fordern ein dynamischeres, cloud-basiertes Update-System, ähnlich den Virendefinitionen von Microsoft Defender. Microsoft steht jedoch vor einem Dilemma: Ein zu aggressives Blockieren kann Kompatibilitätsprobleme und Systemabstürze verursachen, besonders wenn der Treiber in kritischen Legacy-Systemen, etwa im Gesundheitswesen, noch im Einsatz ist.
Mehrschichtige Sicherheit ist unverzichtbar
Die jüngsten Vorfälle zeigen: Auf einen einzigen Schutzmechanismus zu vertrauen, reicht nicht aus. Erfolgreiche Angriffe sind meist eine Kette aus Sicherheitslücken. Oft bieten schlecht konfigurierte Multi-Faktor-Authentifizierung (MFA) oder fehlerhafte Attack Surface Reduction (ASR)-Richtlinien den ersten Einstieg.
Microsoft empfiehlt daher einen mehrschichtigen Ansatz. Dazu gehört, die spezifische ASR-Regel „Missbrauch von ausgenutzten, signierten Treibern blockieren“ zu aktivieren. Sie kann verhindern, dass eine schädliche App überhaupt einen bekannten, anfälligen Treiber auf die Festplatte schreibt. Effektiver Endpoint-Schutz braucht eine Kombination aus Microsofts Bordmitteln, wachsamer Konfiguration und spezieller Angriffserkennung.
Ausblick: Druck auf Microsoft steigt
Die anhaltende BYOVD-Bedrohung erhöht den Druck auf Microsoft, seine Treiber-Sicherheitsstrategie zu überarbeiten. Die Community fordert eine gründlichere Prüfung vor der Signierung von Treibern und einen aktiveren Prozess zum Widerruf kompromittierter Exemplare.
Konkrete Pläne hat Microsoft noch nicht bekannt gegeben. Das Unternehmen deutete jedoch kürzlich „große kommende Sicherheitsupdates“ für Windows 11 an, die Verbesserungen an der Treiber-Blockliste umfassen könnten. Bis dahin bleibt für Unternehmen nur ein Rat: Verteidigung in der Tiefe.
