In der ständigen Weiterentwicklung von Cyberkriminellen gibt es eine neue, ehr ungewöhnliche Methode, die Sicherheitssysteme auf Windows-Rechnern herausfordert. Diese Angriffe nutzen eine Windows-Schwachstelle aus, die es Hackern ermöglicht, Kernel-Mode-Treiber zu manipulieren und gefährlichen Code einzuschleusen.
Die Schwachstelle im Detail
Die Schwachstelle ermöglicht es Hackern, bösartige Treiber mit nicht widerrufenen Zertifikaten zu signieren, die vor dem 29. Juli 2015 ausgestellt wurden oder abgelaufen sind. Dies öffnet die Tür für heimtückische Angriffe auf Windows-Rechner, sowohl in Unternehmensnetzwerken als auch bei Einzelbenutzern.
Wie funktioniert der Angriff?
Das Windows-Betriebssystem ist in zwei Schichten unterteilt: den Benutzermodus und den Kernelmodus. Die strikte Trennung dieser Ebenen stellt sicher, dass der Kernel sicher bleibt. Doch mithilfe eines bösartigen Treibers können Angreifer diese Barriere durchbrechen und das System vollständig übernehmen.
Ein solcher bösartiger Treiber bietet den Angreifern mehrere Vorteile. Er kann die Endpoint Detection umgehen, System- und Benutzerprozesse manipulieren und auf einem infizierten System verbleiben. Daher suchen Cyberkriminelle ständig nach Möglichkeiten, die Windows-Treibersignaturrichtlinien zu umgehen.
Die Windows-Treiberrichtlinie und ihre Lücke
Microsoft aktualisierte seine Treibersignaturrichtlinie mit Windows 10 Version 1607, um Kernel-Mode-Treiber zu verhindern, die nicht vom Entwicklerportal signiert wurden. Es gab jedoch Ausnahmen für ältere Treiber, die nicht den aktuellen Sicherheitsstandards entsprachen. Dies eröffnete eine Sicherheitslücke, die es ermöglichte, Treiber mit alten Zertifikaten zu signieren und zu installieren.
Tools zur Ausnutzung der Schwachstelle
Es gibt Tools wie das HookSignTool, die diese Lücke ausnutzen, indem sie das Signaturdatum eines Treibers ändern. Diese Tools sind öffentlich verfügbar und können in Verbindung mit Codesignaturprogrammen verwendet werden.
Ein weiteres Tool namens FuckCertVerifyTimeValidity verwendet ähnliche Methoden, um Treibersignaturen zu fälschen. Es hinterlässt jedoch keine erkennbaren Spuren in der signierten Binärdatei.
Schutzmaßnahmen
Um sich vor solchen Angriffen zu schützen, sollten Unternehmen nicht ordnungsgemäße Treiber und manipulierte Zertifikate blockieren. Eine effektive Methode zur Identifizierung bösartiger Treiber ist die Überprüfung von Datei-Hashes und Zertifikaten.
Microsoft sperrt regelmäßig Zertifikate, die in Angriffen verwendet werden. Dennoch sollten Unternehmen nicht allein auf diese Sperrliste vertrauen. Endpoint Protection Lösungen und moderne Firewalls können gefährliche Aktivitäten erkennen.
Es ist auch wichtig, sowohl proprietäre als auch Open-Source-Lösungen auf dem neuesten Stand zu halten und aktuelle Bedrohungsregeln herunterzuladen, um die Sicherheit zu gewährleisten. Die steigende Raffinesse der Cyberkriminellen erfordert ständige Wachsamkeit und Anpassung der Sicherheitsmaßnahmen.