Malware in über 100 signierten Windows-Treibern gefunden: Microsoft reagiert

Malware versteckt sich in 133 Windows-Treibern mit gültiger digitaler Signatur. Jetzt hat Microsoft diese blockiert und die Entwicklerlizenzen suspendiert.

In Pocket speichern vorlesen Druckansicht 107 Kommentare lesen
Laptop mit symbolischen Code-Zeilen darüber

(Bild: Pixels Hunter/Shutterstock.com)

Lesezeit: 3 Min.
Von
  • Frank Schräer
Inhaltsverzeichnis

Im Rahmen des monatlichen Windows-Updates ist Microsoft gegen eine Vielzahl bösartiger Treiber und deren Entwickler vorgegangen. Die Windows-Treiber enthalten Malware, tragen aber eine gültige digitale Signatur und wurden deshalb ohne Rückfrage vom Betriebssystem geladen. Laut Sicherheitsforschern handelt es sich um 133 Treiber. Jetzt hat Microsoft die identifizierten Treiber blockiert und die entsprechenden Entwicklerkonten gesperrt.

Microsoft erklärt zu den betroffenen Treibern mit gültiger Signatur, dass sich die enthaltene Malware Administratorrechte aneignen konnte. Damit könnten die kompromittierten Systeme überwacht und manipuliert werden. Die Treiber kamen laut Microsoft von verschiedenen Entwicklerkonten unter den Microsoft-Partnern, die nach Identifizierung umgehend suspendiert wurden. Windows erkennt seit einem Update Anfang März bereits viele dieser bösartigen Treiber.

Deshalb seien regelmäßige Windows-Updates und Updates für Microsofts Sicherheitssoftware Defender zu empfehlen. Auch sollten Antivirusprogramme auf dem aktuellen Stand gehalten werden. Anwender sollten Offline-Scans ihrer Systeme durchführen, um bösartige Treiber zu entdecken, die vor dem 2. März 2023 installiert wurden, als Microsoft den entsprechenden Erkennungsmechanismus implementiert hat. Microsoft-Dienste wie Azure, M365 oder Xbox seien aber nicht betroffen.

Sophos war die erste Sicherheitsfirma, die Microsoft auf die signierten Treiber mit Malware hingewiesen hat, und erklärt die Vorgehensweise. Da die Treiber von Drittanbietern praktisch als Teil des Betriebssystems fungieren, fordert Microsoft eine gültige Signatur vor Ausführung. Da Treiber schon beim Windows-Start geladen werden, können sie sich Administratorrechte einräumen und eventuell sogar danach geladene Sicherheitssoftware manipulieren. Genau dies hat Sophos bei der Untersuchung herausgefunden.

Dies ist allerdings kein neues Phänomen. Schon vor zehn Jahren warnte Microsoft vor signierter Malware, denn auch 2013 trugen immer mehr Schädlinge eine gültige digitale Signatur. Die Unterschriften wurden typischerweise mit gestohlenen Entwicklerzertifikaten erstellt. Schon damals rief Microsoft Entwickler dazu auf, besser auf ihre Zertifikate aufzupassen. Doch auch jetzt wurden laut Sophos erneut Zertifikate von Softwareherstellern gestohlen und im Internet verbreitet.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Sobald Microsoft die betroffenen Zertifikate identifiziert und diese auf die im Betriebssystem verankerte Widerrufsliste Driver.STL gesetzt hat, werden die entsprechenden Treiber nicht mehr geladen. Die Liste wird mit Windows ausgeliefert, ist aber nicht Teil von Windows selbst. Laut Microsoft kann die Liste nicht abgeschaltet, entfernt oder manipuliert werden. Sie wird von Microsoft per Windows-Update regelmäßig aktualisiert.

Etliche Zertifikate der bösartigen Treiber haben laut Sophos ihren Ursprung offenbar in China. Die Sicherheitsfirma hat etwa Zertifikate gefunden von Beijing Kate Zhanhong Technology, Zhuhai liancheng Technology, Beijing JoinHope Image Technology, Hainan Giant Spirit Network Technology, Shenzhen Luyoudashi Technology, Chengdu Lule Cube und Bopsoft.

Einige der Treiber fungieren nach Angaben von Sophos als Rootkit, das im Hintergrund eines infizierten Computers agiert. Die meisten dieser Rootkits können den Netzwerkverkehr und damit die Internetnutzung überwachen, sodass potenziell private Daten abgegriffen werden könnten. Diese Funktionalität ist ebenfalls nicht neu. Bereits vor zwei Jahren haben Forscher verstärkt die vermeintlich ausgestorbenen Kernelschadprogramme wiederentdeckt. Auch 2021 basierte die Rückkehr der Rootkits auf von Microsoft signierter Software.

(fds)