Microsoft räumt ein, dass es sich bei vielen Windows 11- und Windows 10-WHQL-Treibern tatsächlich um Malware handelte

Microsoft hat heute seine Patch Tuesday-Updates für Windows 10 (KB5028166) und Windows 11 (KB5028185) veröffentlicht . Das Unternehmen kündigte separat die neuen Dynamic SafeOS-Updates an , die die Sicherheitsmaßnahmen gegen Secure Boot-Schwachstellen verstärken sollen.

Neben Änderungen an seinem Secure Boot DBX hat Microsoft auch mehrere schädliche Treiber zu seiner Windows Driver.STL-Sperrliste hinzugefügt. Microsoft wurde von den Sicherheitsforschungsunternehmen Cisco Talos, Sophos und Trend Micro über diese anfälligen Treiber informiert.

In einem speziellen Sicherheitshinweis ADV230001 erklärt Microsoft das Problem (CVE-2023-32046), das auf böswillig signierte WHQL-Treiber zurückzuführen ist:

Microsoft wurde kürzlich darüber informiert, dass vom Windows Hardware Developer Program (MWHDP) von Microsoft zertifizierte Treiber in böswilliger Absicht in Post-Exploitation-Aktivitäten verwendet wurden. Bei diesen Angriffen erlangte der Angreifer Administratorrechte auf kompromittierten Systemen, bevor er die Treiber nutzte.

Microsoft hat seine Untersuchung abgeschlossen und festgestellt, dass sich die Aktivität auf den Missbrauch mehrerer Entwicklerprogrammkonten beschränkte und keine Kompromittierung des Microsoft-Kontos festgestellt wurde. Wir haben die Verkäuferkonten der Partner gesperrt und Blockierungserkennungen für alle gemeldeten bösartigen Treiber implementiert, um Kunden vor dieser Bedrohung zu schützen.

Microsoft verlangt, dass Kernel-Modus-Treiber mit seinem WHDP-Programm signiert werden. Da dies jedoch bereits geschehen ist, handelt es sich bei der Zertifizierung nicht um eine narrensichere Methode. Cisco Talos kontaktierte Neowin und erklärte, dass Bedrohungsakteure verschiedene Dienstprogramme zum Fälschen von Treibersignaturen wie HookSignTool verwendet hätten, um die WHCP-Maßnahmen zu umgehen. Abgesehen von gefälschten Zeichen wurden solche Dienstprogramme auch zum Neusignieren gepatchter Software wie PrimoCache verwendet.

Cisco erklärte:

Während unserer Recherche haben wir Bedrohungsakteure identifiziert, die
HookSignTool und FuckCertVerifyTimeValidity nutzen, Tools zum Fälschen von Signatur-Zeitstempeln, die seit 2019 bzw. 2018 öffentlich verfügbar sind, um diese bösartigen Treiber einzusetzen.

HookSignTool ist ein Tool zum Fälschen von Treibersignaturen, das das Signaturdatum eines Treibers während des Signiervorgangs durch eine Kombination aus Einbindung in die Windows-API und manueller Änderung der Importtabelle eines legitimen Codesignaturtools ändert.

Das Signieren bösartiger Treiber ist nicht das einzige Problem, das sich aus der Existenz dieser Tools ergibt. Bei unserer Recherche sind wir darauf gestoßen, dass HookSignTool zum Neusignieren von Treibern verwendet wird, nachdem es gepatcht wurde, um die digitale Rechteverwaltung zu umgehen.

Microsoft hat alle diese Treiber mit Windows-Sicherheitsupdates (Microsoft Defender 1.391.3822.0 und neuer) zur Blocklist für anfällige Treiber hinzugefügt.

Quelle: Cisco Talos über Sophos , Trend Micro