Neue Analyse-Plattform: Windows-Treiber auf Trojaner untersuchen
Microsoft bietet einen neuen Online-Service an, bei dem Entwickler und Sicherheitsforscher sich verdächtig verhaltende Treiber zur Analyse hochladen können.
(Bild: Skorzewiak/Shutterstock.com)
Oft laufen Windows-Treiber mit Kernel-Rechten. Schafft es ein Angreifer an dieser Stelle manipulierend einzugreifen, könnte er Malware tief im System verankern. Um dem vorzubeugen, stellt Microsoft ab sofort eine Analyse-Plattform für Treiber bereit.
Wie aus einem Beitrag hervorgeht, können Entwickler und Sicherheitsforscher auf der Plattform potenziell gefährliche Windows-Treiber (x86 und x64) hochladen. Optional können Uploader im Formular Angaben zum Verhalten des Treibers eintragen. Beispielsweise ob er Schreibzugriff auf den Speicher hat.
Trojanisierte Treiber blockieren
Im Anschluss startet im ersten Schritt eine automatische Analyse. Dabei wird Microsoft zufolge etwa untersucht, ob der Treiber Kernel-Zugriff hat. Bei Auffälligkeiten guckt sich dann ein Sicherheitsforscherteam den Treiber an. Dabei entdeckte Sicherheitslücken sind dem Unternehmen zufolge aber nicht für das hauseigene Bug-Bounty-Programm zugelassen.
Videos by heise
Schlägt die Analyse Alarm, sollen Defender for Endpoint und Windows Defender betroffenen Treiber automatisch blockieren. Treiber-Attacken sorgen immer wieder für Schlagzeilen. Beispielsweise im Zuge der Uroburos-Spionage-Kampagne im Jahr 2014. Mit dem Rootkit, bestehend aus einem bösartigen Treiber und einem verschlüsselten virtuellen Dateisystem, konnten Angreifer die Kontrolle über Computer erlangen und beispielsweise Netzwerkverkehr mitschneiden.
In einer Checkliste zur sichereren Treiberentwicklung hat Microsoft wichtige Tipps für Entwickler zusammengetragen. Der erste Punkt ist etwa, dass Entwickler prüfen sollten, ob ein Treiber zwingend Kernel-Zugriff haben muss. Wer diese Hinweise befolgt, kann die Angriffsfläche deutlich verringern.
(des)
