So aktualisieren Sie Ihre Windows-Treiberblockliste

Cyberkriminelle investieren mittlerweile viel Zeit, Energie und Kosten, um ihre bösartigen Treiber in das Windows-Hardware-Kompatibilitätsprogramm einzuschleusen. Auf diese Weise verschaffen sich Angreifer Zugang zu unseren Computern. Zahlreiche Cybergangs haben diese Angriffsmethode bereits eingesetzt: angefangen von RobbinHood, Uroburos, Derusbi, GrayFish und Sauron bis hin zu Kampagnen des Bedrohungsakteurs STRONTIUM. Deshalb ist es wichtig, diese bösartigen Treiber zu blockieren.

Microsoft wirbt seit langem mit der Möglichkeit, die Blockierliste des Treibers zu aktualisieren. Mit Hilfe von Konfigurationseinstellungen und Sicherheitshardware auf dem Computer kann die Aktivierung der Hypervisor-geschützten Code-Integrität (HVCI) vor bösartigen Treibern schützen. In einem Microsoft-Blog aus dem Jahr 2020 heißt es dazu, dass "die Bedrohungsforschungsteams von Microsoft das Bedrohungsökosystem kontinuierlich überwachen". Zudem werde die Treiber-Blockliste regelmäßig aktualisiert. Die Aktualisierung der Liste erfolgt über das Windows-Update der Geräte.

Vertrauen ist gut, Kontrolle ist besser

Im Bereich der Cybersicherheit gibt es eine häufig verwendete Redewendung: "Vertraue, aber überprüfe" (Trust but verify). Dan Goodin, Redakteur beim Technikmagazin Ars Technica, fand heraus, dass die Liste der anfälligen Treiber trotz aktivierter HVCI nicht wie vorgesehen aktualisiert wurde. Daraufhin wandte er sich an Will Dornmann, Senior Vulnerability Analyst bei Analygence. Der Security-Forscher bestätigte, dass diese Funktion nicht wie erwartet funktioniert. Weitere Untersuchungen ergaben zudem, dass die Blockliste von Windows 10 seit 2019 keine Updates mehr erhalten hat.

Microsoft reagierte darauf mit einer Beschreibungt, wie es manuell geht. Wenn Sie sich also auf diese Funktion der Treiberblockliste verlassen oder Ihre Sicherheitsvorkehrungen auf dieser Basis geplant haben, sollten Sie die manuelle Aktualisierung der Treiberblockliste auf Ihre To-Do-Liste zu setzen, bis Microsoft einen Prozess zur regelmäßigen Aktualisierung dieser Blockliste einführt.

Darüber hinaus hat Microsoft kürzlich bekannt gegeben, dass bei Windows 11 mit dem 22H2-Update die Blockierliste für anfällige Treiber standardmäßig aktiviert ist: "Die Blockliste wird mit jeder neuen Hauptversion von Windows aktualisiert. Wir planen, die aktuelle Blockliste für Nicht-Windows 11-Kunden in einer kommenden Wartungsversion zu aktualisieren und werden zukünftige Updates gelegentlich im Rahmen der regulären Windows-Wartung veröffentlichen.", so der Tech-Konzern. Damit gibt Microsoft zu, dass die Blockliste nicht, wie gedacht, über den Update-Prozess gewartet wird.

Empfohlene Schritte zur Aktualisierung von Treibersperrlisten

Die Microsoft-Anleitung für die Treiber-Blockierliste empfiehlt folgende Schritte für die Aktualisierung.

• Laden Sie das WDAC-Richtlinienaktualisierungstool herunter. Wählen Sie die Version, die Sie für Ihre Windows-Version benötigen (32-Bit-, 64-Bit- oder ARM-Version).

• Laden Sie die Binärdateien der Blockliste für anfällige Treiber herunter und extrahieren Sie sie.

• Wählen Sie entweder die Version "Nur Prüfung" oder die Version "Erzwungen" und benennen Sie die Datei in SiPolicy.p7b um.

• Kopieren Sie SiPolicy.p7b nach %windir%\system32\CodeIntegrity.

• Führen Sie das WDAC-Richtlinienaktualisierungstool aus, das Sie in Schritt 1 heruntergeladen haben, um alle WDAC-Richtlinien auf Ihrem Computer zu aktivieren und zu aktualisieren.

So überprüfen Sie, ob die Richtlinie erfolgreich auf Ihrem Computer angewendet wurde:

• Öffnen Sie den Event Viewer.

• Suchen Sie nach Anwendungs- und Dienstprotokollen - Microsoft - Windows - CodeIntegrity - Operational.

• Wählen Sie Aktuelles Protokoll filtern.

• Ersetzen Sie "<Alle Ereignis-IDs>" durch "3099" und wählen Sie OK.

• Suchen Sie nach einem 3099-Ereignis, bei dem der PolicyNameBuffer und der PolicyIdBuffer mit den Name- und ID-PolicyInfo-Einstellungen übereinstimmen, die Sie unten in der Blockliste WDAC Policy XML in diesem Artikel finden. Wichtiger Hinweis: Ihr Computer kann mehr als ein 3099-Ereignis haben, wenn auch andere WDAC-Richtlinien vorhanden sind.

Sie sollten in der Lage sein, ein PowerShell-Skript zu erstellen, um die aktualisierten Werte in Ihrem Netzwerk mit ähnlichen Tools für die Einstellung von WDAC-Richtlinien in Ihrem Netzwerk bereitzustellen. Sie müssen das WDAC-Richtlinienaktualisierungstool auf alle Ihre Endgeräte herunterladen, um die Aktualisierung im gesamten Netzwerk durchzuführen.

Dormann hat ein eigenes, unabhängiges Tool zur Aktualisierung der Treiberliste bereitgestellt. Führen Sie dazu die folgenden Schritte aus:

• Öffnen Sie eine Administrator-Eingabeaufforderung.

• Geben Sie powershell_ise.exe ein, um Powershell ISE zu starten.

• Kopieren Sie einen Github-Link und fügen Sie ihn in die Powershell ISE ein (STRG+A, STRG+c und STRG+v)

• Geben Sie ApplyWDACPolicy -auto -enforce ein und drücken Sie die Eingabetaste.

Die Richtlinie sollte jedoch zunächst auf einem Computer getestet werden, bevor Sie diese unternehmensweit einführen.

Tipp: Sie möchten regelmäßig zu wichtigen Security-Themen informiert werden? Abonnieren Sie doch einfach unseren kostenlosen Newsletter.

Absichtliche Deaktivierung der Blockliste

Manche Benutzer deaktivieren die Blockliste sogar absichtlich. Ein Beispiel dafür ist die Gamer-Community, die bösartige Treibersperren umgehen möchte. Die Verwendung von Gaming Cheats wird von Windows 11 22H2 blockiert, was deutlich zeigt, dass das Dienstprogramm zum Blockieren bösartiger Treiber zumindest für diese Plattform funktioniert. Der Hinweis lautet: "HKLM\System\CurrentControlSet\Control\CI\Config\, erstellen Sie dann ein neues DWORD mit dem Namen VulnerableDriverBlocklistEnable und setzen Sie es auf 0", um die bösartige Treibersperre zu umgehen.

Sie können diesen Registrierungsschlüssel überwachen lassen, um sicherzustellen, dass böswillige Akteure diese Blockierung nicht deaktivieren und Sie ungeschützt lassen. Wenn Ihr Unternehmen noch nicht über eine Lösung zur proaktiven Überwachung von Datei- und Registrierungsänderungen verfügt, sollten Sie den Einsatz von Tools wie ProcMon oder Process Monitor in Erwägung ziehen, um vorgenommenen Änderungen zu überprüfen. Es ist jedoch nicht empfehlenswert, diese Tools zur Rund-um-die-Uhr-Überwachung einzusetzen. Für die langfristige Überprüfung von Systemänderungen stellt Microsoft ein eigenes Tool zur Verfügung.

"System Monitor (Sysmon) ist ein Windows-Systemdienst und -Gerätetreiber, der, sobald er auf einem System installiert ist, über Systemneustarts hinweg resident bleibt, um Systemaktivitäten zu überwachen und im Windows-Ereignisprotokoll zu protokollieren. Er liefert detaillierte Informationen über die Erstellung von Prozessen, Netzwerkverbindungen und Änderungen der Dateierstellungszeit", erklärt der Anbieter. Dabei sollten Sie die Installation auf den Servern vornehmen, die nach außen hin mit dem Internet verbunden sind, und auf allen Arbeitsstationen, die einem erhöhten Risiko ausgesetzt sind. Stattdessen können das Tool aber auch auf allen Workstations installieren, da der Overhead, der im Hintergrund läuft, minimal ist.

Microsoft liefert ein Update

Am 26. Oktober veröffentlichte Microsoft in einer Vorschauaktualisierung der aktualisierten Treiberblockliste. Diese Vorabversion behebt das Problem, bei dem die Blockliste nur für vollständige Windows-Betriebssystemversionen aktualisiert wird. Wenn Sie diese Version installieren, entspricht die Blockliste der auf Windows 11, Version 21H2 und höher. Dieser Fix soll in die November-Sicherheitsupdates integriert werden. (Release: 8. November 2022) Ab diesem Zeitpunkt ist eine manuelle Aktualisierung dann nicht mehr erforderlich. (jm)

Lesetipp: Windows-Security-Checkliste - So schützen Sie Ihre Microsoft 365-Anwendungen

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.