Cyberkriminelle nutzen zunehmend BYOVD-Attacken, um Sicherheitssoftware zu deaktivieren. Microsoft steht in der Kritik, da das Unternehmen Lücken in der Windows-Kernel-Sicherheit nicht ausreichend schließt.
Dies ist der erste Teil einer Serie. Der zweite Teil folgt nächste Woche.
Microsoft befindet sich in einer schwierigen Lage, wenn es um sogenannte BYOVD-Angriffe (Bring-Your-Own-Vulnerable-Driver) geht. Im vergangenen Jahr haben Bedrohungsakteure – insbesondere Ransomware-Gruppen – diese Angriffstechnik verstärkt eingesetzt, um Sicherheitsprodukte in Zielnetzwerken auszuschalten. Die Methode funktioniert dabei simpel: Angreifer identifizieren einen anfälligen Treiber, laden ihn auf dem Zielsystem ein und nutzen anschließend dessen Kernel-Level-Zugriff und erhöhte Privilegien, um Sicherheitsprozesse zu beenden – bevor sie ihre eigentliche Malware wie Ransomware, Informationsstealer oder Backdoors bereitstellen.
Die wachsende Nutzung von BYOVD-Techniken für EDR-Killer hat Microsoft in eine unbequeme Position manövriert. Zwar hat der Tech-Konzern in den vergangenen zwei Jahrzehnten vielfältige Anstrengungen unternommen, um die Windows-Kernel-Abwehrmechanismen zu stärken – doch Sicherheitsforscher weisen auf erhebliche Sicherheitslücken hin, die Angreifer wiederholt exploitieren.
Die Ausmaße mancher Lücken sind bemerkenswert: Kürzlich waffneten Ransomware-Akteure einen legitimen Treiber, dessen digitales Zertifikat bereits 2010 widerrufen wurde – ein massives Loch in Microsofts Verteidigungssystem.
Der Anstieg von BYOVD-Attacken hat grundlegende Fragen zu Microsofts Sicherheitsrichtlinien aufgeworfen. Gleichzeitig ist ein großer Teil der Verantwortung auf EDR-Anbieter – ausgerechnet auf die Ziele dieser Evasions-Tools – übergegangen. Das Problem: Viele potenzielle Lösungen sind nicht praktizierbar, weil sie Systemabstürze oder zusätzliche Sicherheitsrisiken verursachen könnten.
Die zentrale Problematik liegt in der Natur von Treibern: Sie sind kritische Komponenten für die Kommunikation zwischen Anwendungen und dem Betriebssystem. Unter Windows erhalten Treiber “Ring-0”-Zugriff – die höchste Privileg-Ebene. Zwar müssen Treiber mit digitalen Zertifikaten signiert sein, um vom System vertraut zu werden, doch Windows lädt Treiber während des Boot-Prozesses, wenn Netzwerkverbindungen nicht verfügbar sind. Eine Überprüfung von Zertifikat-Widerrufslisten (CRL) während des Starts würde die Performance beeinträchtigen und neue Risiken schaffen.
“Vergleicht man Windows mit macOS, wird die Problematik deutlich”, sagt Peter Morgan, Vice President of Research bei Halcyon. “Apple hat vor Jahren alle aus dem Kernel verbannt – dieses Problem wird es dort nie geben.”
Microsoft hingegen gestaltete sein OS so, dass es “praktisch alles unterstützt, das jemals auf Windows lief”. Mit dieser Breite an Kernel-Treiber-Unterstützung hat das Unternehmen ungewollt ein neues Wettrüsten zwischen Angreifern und Verteidigern entfacht.
Microsoft hat sich durchaus bemüht: Windows Vista führte Driver Signature Enforcement ein – die Pflicht zur Signierung von Kernel-Treibern mit vertrauenswürdigen Zertifikaten. Windows 10 verschärfte dies weiter durch die Anforderung, dass neue Kernel-Treiber via Hardware Dev Center signiert sein müssen.
Doch es gibt eine massive Ausnahme. Microsoft gewährte Rückwärtskompatibilität für ältere, cross-signierte Treiber. Treiber mit Zertifikaten vor dem 29. Juli 2015, die mit unterstützten Cross-Signing-CAs verknüpft sind, dürfen laden – selbst wenn ihre Zertifikate abgelaufen oder widerrufen wurden.
Diese Lücke wurde durch einen von Huntress dokumentierten Fall offenbart, in dem Angreifer einen Treiber der Forensik-Suite EnCase von Guardian Software waffneten. Das Zertifikat war 2010 abgelaufen und später widerrufen worden.
“Welcher Use-Case rechtfertigt es, einen Treiber mit widerrufenem Zertifikat zu laden? Das macht keinen Sinn”, sagt Jakub Souček, Senior Malware Researcher bei ESET. “Ein Widerruf signalisiert klar, dass der Hersteller Probleme erkannt hat und diese behoben wissen will. Das sollte ein Signal sein, dass dieser Treiber unter keinen Umständen geladen werden darf.”
Die gute Nachricht: Die meisten von Angreifern missbrauchten Treiber haben weder abgelaufene noch widerrufene Zertifikate. Microsoft führte eine Vulnerable Driver Blocklist ein, die seit dem Windows-11-2022-Update standardmäßig aktiviert ist und das Laden bekannter, ausgebeuteter Treiber verhindert.
Doch auch diese Maßnahme zeigt Mängel. Erstens wird Microsofts Blocklist nur ein- bis zweimal pro Jahr aktualisiert, sodass neue BYOVD-Attacks monatelang unerkannt bleiben. Zweitens ist die Entscheidung, einen Treiber systemweit zu blockieren, komplex: Soucek zufolge sind 80-90% der Aktivität legitime Nutzungen. Treiber werden oft für berechtigte Zwecke eingesetzt, etwa in kritischen Legacy-Systemen von Krankenhäusern.
Anna Pham von Huntress betont, dass häufigere Updates der Blocklist das Angriffsfenster verkleinern könnten. “Cloud-basierte Echtzeit-Updates, ähnlich wie Defender-Definitionen, würden helfen.”
Doch manche Experten kritisieren, dass Microsoft nicht genug tut. Dick O’Brien vom Symantec und Carbon Black Threat Hunter Team fordert proaktivere Maßnahmen: “Microsoft muss dies ernster nehmen – schließlich signiert das Unternehmen diese Treiber selbst. Es braucht gründlichere Reviews vor dem Signieren und aktive Widerrufe bereits identifizierter vulnerabler Treiber.”
Überdies sollte Microsoft sicherstellen, dass Treiber nur von ihrer ursprünglichen Anwendung genutzt werden können, nicht von beliebigen Drittanwendungen zu bösartigen Zwecken.
Forscher räumen ein, dass viele Verbesserungen schwierig umzusetzen sind, warnen aber, dass das BYOVD-Problem schlimmer wird. “Ich habe Sympathie für Microsoft – es ist ein verdammt hartes Problem”, sagt Morgan. “Aber ich denke, es gibt Schritte, die sie unternehmen können.”
Microsoft erklärt, mehrere Maßnahmen zu ergreifen. Bei der jüngsten “Reynolds”-Ransomware-Kampagne beispielsweise, bei der Angreifer einen anfälligen NSecSoft NSecKrnl-Treiber einbetteten, betont ein Microsoft-Sprecher: “Kundensicherheit ist uns ernst. Wir haben Prozesse etabliert, um vor Treiber-Missbrauch zu schützen. Bei solchen Meldungen evaluieren wir die Auswirkungen, koordinieren mit Partnern auf sichere Versionen und nutzen mehrschichtige Schutzmaßnahmen in Defender, während Kunden updaten. Sobald sichere Versionen breit verfügbar sind, ergreifen wir weitere Maßnahmen wie das Blockieren via Blocklist.”
Alternativen existieren: Das Open-Source-Projekt “Living Off the Land Drivers” (LOLDrivers) verwaltet eine größere, häufiger aktualisierte Liste. EDR-Anbieter können auch präventiv Treiber mit gefährlichem Funktionspotential flaggen oder blockieren – und wissen, ob ein Treiber im jeweiligen Netzwerk relevant ist.
Doch diese Verantwortung ist ungerechterweise auf EDR-Anbieter und Organisationen selbst gefallen, viele davon ohne entsprechende Expertise. Die Frage bleibt offen, ob Microsoft Änderungen vornehmen wird. “Es ist ein kniffliges Problem”, sagt Morgan. “Selbst wenn Microsoft alles hätte, könnte es nicht jedem gerecht werden.”
Experten empfehlen daher einen mehrschichtigen Sicherheitsansatz: neben Treiber-Blockierung auch Erkennung typischer BYOVD-Anzeichen wie die Beschaffung administrativer Privilegien. “Sobald der Treiber lädt und läuft, gibt es praktisch keine effektive Abwehr mehr”, sagt Soucek.
Im zweiten Teil dieser Serie erfahren Sie mehr darüber, wie Hersteller und Forscher BYOVD-Bedrohungen bekämpfen.
Quelle: Dark Reading