Kernel-Treiber: Hacker überlisten Windows-Richtlinie durch alte Zertifikate

Microsoft hat kürzlich einige alte Zertifikate widerrufen, mit denen es Hackern möglich war, bösartige Kernel-Mode-Treiber zu signieren. Da Treiber dieser Art üblicherweise auf der höchsten Berechtigungsstufe von Windows arbeiten, konnten Angreifer durch deren Bereitstellung auf einem Zielsystem Vollzugriff erlangen und nach Belieben Daten exfiltrieren oder laufende Prozesse beenden. Selbst gängige Sicherheitstools bieten vor einem solchen Angriff keinen Schutz, da ein böswilliger Akteur deren Betrieb infolgedessen gezielt stören kann, indem er beispielsweise ihre Schutzfunktionen deaktiviert oder deren Softwarekonfiguration manipuliert.

Wie Bleeping Computer berichtet, fordert Microsoft seit der Einführung von Windows Vista über eine Richtlinie, dass Entwickler von Kernel-Mode-Treibern diese von dem Redmonder Konzern signieren lassen, bevor sie zur Installation auf Windows-Systemen freigegeben werden. Für mit einem vor dem 29. Juli 2015 ausgestellten Zertifikat signierte Treiber gibt es jedoch eine Ausnahme, so dass auch ältere bestehende Treiber funktionstüchtig bleiben.

Diesen Umstand machten sich einem Bericht von Cisco Talos zufolge einige Hacker zunutze. Unter Einsatz von quelloffenen Tools wie Hooksigntool und Fuckcertverify änderten sie das Signierdatum ihrer bösartigen Treiber auf ein Datum vor dem 29. Juli 2015. Für diesen Zweck griffen sie auf ältere Zertifikate zurück, die etwa infolge von Datenlecks zuvor irgendwo im Netz aufgetaucht waren, die Microsoft jedoch seither nicht widerrufen hatte. Die Cisco-Forscher fanden nach eigenen Angaben mehr als ein Dutzend solcher Zertifikate in Github-Repositorys und chinesischen Foren.

Microsoft hat reagiert – doch das Risiko bleibt

Unter Verweis auf vergleichbare Berichte von Sophos und Trend Micro widerrief Microsoft die böswillig missbrauchten Zertifikate inzwischen und sperrte damit in Verbindung stehende Entwicklerkonten. Darüber hinaus habe der Konzern mit dem Microsoft Defender ab Version 1.391.3822.0 neue "Blockierungserkennungen für alle gemeldeten bösartigen Treiber implementiert, um Kunden vor dieser Bedrohung zu schützen."

Die Sicherheitsforscher von Sophos fanden über hundert böswillige Kerneltreiber, die Angreifer mitunter als sogenannte EDR-Killer einsetzten, um Sicherheitstools auf infiltrierten Systemen gezielt zu deaktivieren. Es ist durchaus denkbar, dass noch weitere alte Zertifikate existieren, die sich für diesen Zweck missbrauchen lassen. Solange Microsoft die dafür genutzte Ausnahme in seiner Richtlinie aufrechterhält, bleibt das Risiko bestehen, dass Hacker erneut auf diesen Mechanismus zurückgreifen.