Cyberkriminelle missbrauchen Treiber-Signatur von Microsoft

Um den Windows-Kernel zu schützen, müssen Microsoft-Treiber digital signiert werden. Fehlt diese Signatur, lädt Windows den Treiber nicht. Diese Methode wird auch für die Sicherheitsprodukte von Drittanbietern verwendet, um zu prüfen, ob ein Treiber vertrauenswürdig ist. Dazu verfügt Microsoft über einen zusätzlichen Validierungsprozess, der als Windows Hardware Compatibility Program bekannt ist. Doch Security-Forscher entdeckten kürzlich, dass Angreifer signierte bösartige Microsoft-Treiber verwendeten, um Security-Produkte zu umgehen.

Wie Microsoft mitteilte, stammt der Missbrauch von mehreren Entwicklerkonten, eine Netzwerkverletzung sei jedoch nicht festgestellt worden. Zudem hat der Tech-Konzern diese Konten gesperrt und weitere Sperrungen implementiert. Das Unternehmen empfiehlt seinen Kunden, die neuesten Windows-Updates zu installieren und sicherzustellen, dass ihre Antiviren- und Endpunkt-Erkennungsprodukte mit den neuesten Signaturen ausgestattet sind.

Illegal erworbene EV-Zertifikate

Um signierte Treiber zu erhalten, benötigt ein Entwickler zunächst ein erweitertes Validierungszertifikat. Damit wird die Identität gegenüber einer vertrauenswürdigen Windows-Zertifizierungsstelle nachgewiesen. Der Entwickler fügt dann das EV-Zertifikat (Extended Validation) seinem Windows-Hardware-Developer-Progam-Konto zu.

Doch Forscher des Sicherheitsanbieters Mandiant haben nach eigenen Angaben kontinuierlich beobachtet, dass Bedrohungsakteure kompromittierte, gestohlene und illegal erworbene Code-Signing-Zertifikate verwenden, um Malware zu signieren, Legitimität zu verleihen und Sicherheitskontrollen wie Richtlinien zum Zulassungslisten von Anwendungen zu untergraben. "Beglaubigungssignierte Treiber übernehmen das ihnen von der Zertifizierungsstelle (CA) gewährte Vertrauen und übertragen es in eine Datei, deren Authenticode-Signatur von Microsoft selbst stammt", so die Sicherheitsanalysten.

Mandiant geht davon aus, dass Angreifer diesen Prozess unterlaufen haben, indem sie illegal erworbene EV-Code-Signaturzertifikate verwendet haben, um Treiberpakete über den Attestation-Signaturprozess einzureichen, und ihre Malware tatsächlich direkt von Microsoft signieren lassen. Laut Forschungsbericht waren hauptsächlich EV-Zertifikate von Digitcert und Globalsign betroffen, die an chinesische Kunden ausgestellt wurden.

Die Forscher der Sicherheitsfirma SentinalOne sind ebenfalls auf einen Missbrauch der Microsoft-Signierung gestoßen. "Das Hauptproblem bei diesem Prozess besteht darin, dass die meisten Sicherheitslösungen implizit allem vertrauen, was nur von Microsoft signiert wurde, insbesondere Treiber im Kernelmodus ", erklären die Spezialisten. Microsoft habe ab Windows 10 gefordert, dass alle Kernelmodus-Treiber über das Dashboard-Portal des Windows Hardware Developer Center signiert werden müssten.

"Alles, was nicht durch diesen Prozess signiert wurde, kann in modernen Windows-Versionen nicht geladen werden ", heißt es weiter. Während die Absicht dieser neuen Anforderung darin bestand, eine strengere Kontrolle und Transparenz über Treiber zu erhalten, die auf Kernel-Ebene operieren, hätten Bedrohungsakteure erkannt, dass sie, wenn sie den Prozess missbrauchen, bei ihrem Treiben freie Hand haben. Der Trick bestehe jedoch darin, einen Treiber zu entwickeln, der für die von Microsoft während des Überprüfungsprozesses implementierten Sicherheitsüberprüfungen nicht schädlich zu sein scheint.

Tipp: Sie möchten regelmäßig über aktuelle Security-Themen informiert werden? Dann abonieren Sie doch einfach unseren kostenlosen Newsletter.