Microsoft pfuscht bei Windows-Kernel-Sicherheit – und Ransomware profitiert

Der Windows-Schutz vor gefährlichen Treibern bekam jahrelang keine Updates. Nachdem Forscher das dokumentierten, bessert Microsoft jetzt stückweise nach.

In Pocket speichern vorlesen Druckansicht 63 Kommentare lesen

(Bild: heise online)

Lesezeit: 6 Min.
Inhaltsverzeichnis

Um sich selbst vor Angriffen zu schützen, kann Windows die Installation von Treibern blockieren, die bekanntermaßen Sicherheitslücken aufreißen. In der Praxis schützt das leider so gut wie gar nicht, weil Microsoft anscheinend vergessen hat, dass man die dafür gepflegte Liste unsicherer Treiber auch aktualisieren müsste. In der Folge bringt Ransomware immer öfter ihren eigenen, verwundbaren Treiber mit, um Windows-Sicherheit auszuhebeln.

Das Rückgrat eines Computers ist der Kernel des Betriebssystems, der vollen, unbeschränkten Zugriff auf alle Komponenten des Systems hat. Um etwa neue Hardware zu integrieren, kann man diesen Kernel durch Treiber ergänzen, die dann Zugriff auf Kernel-Ressourcen erhalten. Damit das nicht missbraucht wird, müssen solche Treiber von Microsoft signiert werden und bestimmten Anforderungen genügen.

Stellt sich allerdings im Nachhinein heraus, dass ein Treiber eine Sicherheitslücke aufreißt, hat Windows ein Problem. Um das zu entschärfen, führt Microsoft eine Blacklist verwundbarer oder bösartiger Treiber; man kann sogar Treiber bei Microsoft zur Untersuchung und Aufnahme in diese Liste melden. Microsofts Windows Plattform Security Team erklärte in einem Blog-Beitrag: "Wir haben einen automatisierten Weg geschaffen, über den wir verwundbare Treiber blockieren können und der über Windows Update aktualisiert wird" und lobte sich später erneut "Vulnerable drivers are automatically blocked in the ecosystem".

Das passte aber irgendwie nicht zur Realität. Gerade in den letzten Monaten wurden gehäuft Vorfälle bekannt, in denen Cybercrime-Banden im Rahmen von Ransomware-Angriffen solche verwundbaren Treiber im System installierten. Trend Micro berichtete etwa von Ransomware-Vorfällen, bei denen Antiviren-Software mithilfe des Treibers mhyprot2.sys lahmgelegt wurde; in einem anderen Fall missbrauchte die Cuba-Gang den Avast Anti-Rootkit-Treiber asWarPot.sys, wie Microsoft selbst erklärt.

Sicherheitsexperten nennen diese Angriffstechnik "Bring your own vulnerable Driver"; sie wurde zunächst von hochspezialisierten APT-Angreifern genutzt, um Kernel-Rootkits einzuschleusen, kommt aber offenbar auch immer öfter bei herkömmlichen Cybercrime-Attacken zum Einsatz. Das sollte jedoch in vielen Fällen eigentlich nicht mehr möglich sein, weil die eingesetzten Treiber bereits sehr lange als Problem bekannt waren und somit über die Windows-Schutzfunktionen blockiert werden sollten.

Microsofts Behauptungen zum Schutz vor gefährlichen Treibern passten einfach nicht zu den konkreten Beobachtungen einiger Sicherheitsforscher, die auch nicht lockerließen. Der Security-Experte Will Dormann gab sich sehr viel Mühe, alle eventuell notwendigen Schalter und Switches in Windows zu aktivieren, schaffte es aber nicht, dass seine Testsysteme die problematischen Treiber blockierten. Erst als er Microsofts Blocklist händisch aktualisierte, trat das erwünschte Ergebnis tatsächlich ein – Windows weigerte sich endlich, den gefährlichen Treiber zu laden.

Ein aktuelles Windows 10 lädt den gefährliche Treiber trotz aktiver Speicherintegrität.

heise Security konnte dieses Verhalten in eigenen Tests ebenfalls nachvollziehen. Ein Windows-10-System mit allen Updates und aktiver Speicherintegrität lud den gefährlichen Treiber mhyprot2.sys. Erst nachdem wir dem System mit Dormanns Skript ApplyWdac eine neue Blocklist verpasst hatten, verweigerte es den Treiberstart.

Erst nachdem wir die Blocklist der gefährlichen Treiber manuell aktualisiert hatten, verweigerte Windows das Laden.

Es mehrten sich also die Anzeichen, dass Microsofts Kernel-Schutz in der Praxis unwirksam war, weil Windows keine Aktualisierung der Sperrliste bekommt. Gut zusammengefasst hat Dan Goodin das Fiasko in einem Artikel auf Ars Technica und Microsoft ruderte unter dem steigenden Druck langsam zurück. Mittlerweile dokumentiert Microsoft das Windows-Verhalten zumindest korrekt und schreibt neuerdings: "Die Blockliste wird mit jeder neuen Hauptversion von Windows aktualisiert"; man plane ein Wartungs-Update und auch eine automatische Aktualisierung über den normalen Windows-Service-Kanal. Außerdem beschreibt Microsoft jetzt auch, wie man Liste händisch aktualisiert.

Um das alles in den richtigen Kontext zu setzen: Es handelt sich bei diesem Schutz vor gefährlichen Treibern um einen vergleichsweise kleinen Baustein im Windows-Sicherheitskonzept, der derzeit nur in recht speziellen Szenarien eine Rolle spielt. So muss die Hardware den Windows-Sicherheitsmodus unterstützen und unter Windows 10 muss man im "Geräteschutz" die "Speicherintegrität" noch selbst einschalten, damit die Sperre aktiv wird. Nur bei Windows 11 hat Microsoft das mit dem Oktober-Update standardmäßig aktiviert.

Überdies benötigen die Angreifer zum Laden eines Treibers bereits Administrator-Rechte, müssen also das System zuvor schon recht weitgehend kompromittiert haben. Der sich ausbreitende Einsatz von "Bring your own vulnerable Driver" zeigt aber, dass die Hintertür zum Windows-Kern den Angreifern nutzt. Und sei es nur, um sich besser im System verstecken zu können. Wer aber bisher nichts von dieser Schutzfunktion gehört hat, muss jetzt nicht alles stehen und liegen lassen, um diese auf Vordermann zu bringen.

Der eigentliche Skandal ist die an diesem Fall offenbar gewordene Schlamperei Microsofts in Hinblick auf Sicherheit. Sie führen eine Sicherheitsfunktion ein und preisen sie in höchsten Tönen, kümmern sich aber über Jahre hinweg nicht darum, dass sie in der Praxis auch funktioniert. Der Skandal ist, dass erst hartnäckige Sicherheitsforscher und Journalisten Microsoft nachweisen mussten, dass ihr angeblicher Schutz vor gefährlichen Treibern in Windows praktisch nutzlos ist.

Dass Microsoft das aktuelle Verhalten der Schutzfunktion jetzt richtig dokumentiert, ist ein erster Schritt, nicht mehr. Eine regelmäßige und automatische Aktualisierung der Treiber-Blockliste ist überfällig – doktert aber letztlich auch nur an Symptomen herum. Letztlich braucht es bei Microsoft ein grundsätzliches Umdenken im Hinblick auf Security – vergleichbar zu der Neuorientierung vor zwanzig Jahren, als Bill Gates seinem Konzern mit seinem Brandbrief zum Trustworthy Computing ein Major Security-Upgrade verordnete.

(ju)