Die ESET-Research-Abteilung veröffentlicht in ihrem aktuellen Blog-Artikel die Ergebnisse ihrer Schwachstellenanalyse von signierten Windows-Kernel-Treibern.
Nach Einschätzung der Sicherheitsexperten werden diese immer häufiger von sogenannten APT-Gruppen (Advanced Persistent Threat) für gezielte Angriffe auf Unternehmen ausgenutzt. Die detaillierten technischen Analysen und wirksame Abwehrtechniken stehen ab sofort als Blogpost auf WeLiveSecurity zur Verfügung.
Hintergrund
In Microsoft-Windows-Betriebssystemen existieren verschiedene Arten an Kerneltreibern. Während bei Gerätetreibern ein strenger Entwicklungsprozess mit Fokus aus Security herrscht, sieht das Ganze bei “Software”-Treibern, etwa für Diagnosedaten, anders aus. Mögliche Softwarefehler und bekanntgewordene Schwachstellen werden daher von Schadcodeentwicklern und Cyberangreifern aktiv ausgenutzt.
“Wenn Hacker in den Windows-Kernel auf x64-Systemen gelangen wollen, müssen die Treiber signiert sein. Signierte, aber anfällige Treiber sind hierfür eine praktikable Möglichkeit. Diese Technik ist als Bring Your Own Vulnerable Driver, kurz BYOVD, bekannt und wurde in freier Wildbahn sowohl von bekannten APT-Akteuren als auch in gewöhnlicher Malware beobachtet”, erklärt Peter Kálnai, Senior Malware Researcher bei ESET.
Auf einen Blick: “Signierte Kernel-Treiber – Unbewachte Zugänge zum Windows-Kern”
- Der Artikel bietet einen tiefen Einblick in die Verwundbarkeiten von Kernel-Treibern.
- Was ist der Windows-Kernel? Der Kernel ist die zentrale Komponente des Windows Betriebssystems.
- Was wurde entdeckt? ESET-Forscher haben Schwachstellen in drei Treibern entdecken können.
- Wer nutzt diese Schwachstellen aus? Cheat-Entwickler für Computerspiele nutzen Schwachstellen in signierten Treibern, um die Anti-Cheat-Maßnahmen der Softwarehersteller zu umgehen. Parallel hierzu sind auch mehrere APT-Gruppen und Malware-Entwickler aktiv geworden.
- Was sind erfolgreiche Methoden? Selbst einen unsicheren Treiber zu verbreiten, zeigt sich als beliebte Masche für Angreifer – diese Technik wird als “Bring Your Own Vulnerable Driver” (BYOVD) bezeichnet.
- Was sind bekannte Fälle? Zur Verwendung kam BYOVD bei Attacken der “Slingshot” und “InvisiMole” APT-Gruppen, der “RobbinHood” Ransomware Familie – sowie LoJax, dem ersten UEFI Rootkit im Cybercrime-Einsatz.
- Wie sehen Abwehrstrategien aus?
Weitere Informationen:
Der ESET-Blogpost zeigt detailliert auf, welche Schutzmaßnahmen vor solchen Angriffen ergriffen werden können. Die Ergebnisse der Analyse gibt es auf WeLiveSecurity.
www.eset.com/de