Anzeige

Schwachstelle

Die ESET-Research-Abteilung veröffentlicht in ihrem aktuellen Blog-Artikel die Ergebnisse ihrer Schwachstellenanalyse von signierten Windows-Kernel-Treibern.

Nach Einschätzung der Sicherheitsexperten werden diese immer häufiger von sogenannten APT-Gruppen (Advanced Persistent Threat) für gezielte Angriffe auf Unternehmen ausgenutzt. Die detaillierten technischen Analysen und wirksame Abwehrtechniken stehen ab sofort als Blogpost auf WeLiveSecurity zur Verfügung.

Hintergrund

In Microsoft-Windows-Betriebssystemen existieren verschiedene Arten an Kerneltreibern. Während bei Gerätetreibern ein strenger Entwicklungsprozess mit Fokus aus Security herrscht, sieht das Ganze bei "Software"-Treibern, etwa für Diagnosedaten, anders aus. Mögliche Softwarefehler und bekanntgewordene Schwachstellen werden daher von Schadcodeentwicklern und Cyberangreifern aktiv ausgenutzt.

"Wenn Hacker in den Windows-Kernel auf x64-Systemen gelangen wollen, müssen die Treiber signiert sein. Signierte, aber anfällige Treiber sind hierfür eine praktikable Möglichkeit. Diese Technik ist als Bring Your Own Vulnerable Driver, kurz BYOVD, bekannt und wurde in freier Wildbahn sowohl von bekannten APT-Akteuren als auch in gewöhnlicher Malware beobachtet", erklärt Peter Kálnai, Senior Malware Researcher bei ESET.

Auf einen Blick: "Signierte Kernel-Treiber - Unbewachte Zugänge zum Windows-Kern"

  • Der Artikel bietet einen tiefen Einblick in die Verwundbarkeiten von Kernel-Treibern.
     
  • Was ist der Windows-Kernel? Der Kernel ist die zentrale Komponente des Windows Betriebssystems.
     
  • Was wurde entdeckt? ESET-Forscher haben Schwachstellen in drei Treibern entdecken können.
     
  • Wer nutzt diese Schwachstellen aus? Cheat-Entwickler für Computerspiele nutzen Schwachstellen in signierten Treibern, um die Anti-Cheat-Maßnahmen der Softwarehersteller zu umgehen. Parallel hierzu sind auch mehrere APT-Gruppen und Malware-Entwickler aktiv geworden.
     
  • Was sind erfolgreiche Methoden? Selbst einen unsicheren Treiber zu verbreiten, zeigt sich als beliebte Masche für Angreifer - diese Technik wird als "Bring Your Own Vulnerable Driver" (BYOVD) bezeichnet.
     
  • Was sind bekannte Fälle? Zur Verwendung kam BYOVD bei Attacken der "Slingshot" und "InvisiMole" APT-Gruppen, der "RobbinHood" Ransomware Familie - sowie LoJax, dem ersten UEFI Rootkit im Cybercrime-Einsatz.
     
  • Wie sehen Abwehrstrategien aus?

Weitere Informationen:

Der ESET-Blogpost zeigt detailliert auf, welche Schutzmaßnahmen vor solchen Angriffen ergriffen werden können. Die Ergebnisse der Analyse gibt es auf WeLiveSecurity.

www.eset.com/de
 


Artikel zu diesem Thema

IT Schwachstelle
Dez 13, 2021

Software-Schwachstellen um 20 Prozent gewachsen

Hackerone, eine Sicherheitsplattform für ethisch motivierte Hacker – die so genannten…
Advanced Persistent Threats
Nov 10, 2021

Best Practices gegen Advanced Persistent Threats

Advanced Persistent Threats (APT) sind Angriffe, bei denen sich Hacker Zugang zu einem…
Robin Hood Statue
Feb 07, 2020

"RobbinHood" hat aufgerüstet und macht sich im Windows-Kernel breit

Sophos hat zwei Ransomware-Angriffe näher untersucht, bei denen die Gegner legitime,…

Weitere Artikel

Hypnose Bildschirm

Zwei Jahre Corona: Jeden Tag 10 Stunden am Bildschirm

Ob Smartphone, Laptop oder Fernseher: Seit Corona verbringen die Menschen mehr Zeit vor dem Bildschirm. So beträgt die durchschnittliche Bildschirmzeit derzeit 10 Stunden pro Tag, 70 Stunden in der Woche.
KI

BioNTech und Deutsche Bahn investieren in KI-Spezialist InstaDeep

InstaDeep, ein Anbieter von fortschrittlichen KI-Systemen, gab heute bekannt, dass das Unternehmen 100 Millionen US-Dollar erhalten und eine Serie-B-Finanzierungsrunde unter der Leitung von Alpha Intelligence Capital zusammen mit CDIB abgeschlossen hat. Zu…
Haus digital

Energieeffiziente Gebäude: Wir brauchen eine digitale Renovierungswelle

Die Bundesregierung hat die Förderung energieeffizienter Gebäude gestoppt. Ein Kommentar von Bitkom-Präsidiumsmitglied Matthias Hartmann.
Twitter

"Twitter Flock": Tweets nur für enge Freunde

Der Mikroblogging-Service Twitter arbeitet offenbar an einem Feature, das es Usern ermöglicht, Tweets nur mit engeren Freunden zu teilen. Bis zu 150 Personen kann dieser "Flock" umfassen, wie der italienische Entwickler und Tech-Blogger Alessandro Paluzzi…
Cloud Computing

Die Kohlenstoffemissionen werden die Kaufentscheidungen für Cloud-Lösungen bestimmen

Bis 2025 werden die Kohlenstoffemissionen von Hyperscale-Cloud-Services an dritter Stelle bei Cloud-Kaufentscheidungen stehen, so das Research- und Beratungsunternehmen Gartner.
Hacker

Hackerangriff auf Unfallkasse Thüringen – Server verschlüsselt

Das Computersystem der Unfallkasse Thüringen (UKT) ist Ziel eines Hackerangriffs geworden. «Am 4. Januar 2022 erfolgte ein gezielter Angriff auf unsere informationstechnischen Systeme», schreibt die UKT auf ihrer Internetseite.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.