Unbewachte Schaltzentrale: ESET analysiert Angriffe auf Windows Kernel

Nächste PM

Die ESET Research-Abteilung veröffentlicht in ihrem aktuellen Blog-Artikel die Ergebnisse ihrer Schwachstellenanalyse von signierten Windows-Kernel-Treibern. Nach Einschätzung der Sicherheitsexperten, werden diese immer häufiger von sogenannten. APT-Gruppen (Advanced Persistent Threat) für gezielte Angriffe auf Unternehmen ausgenutzt. Die detaillierten technischen Analysen und wirksame Abwehrtechniken stehen ab sofort als Blogpost auf WeLiveSecurity zur Verfügung.

Hintergrund

In Microsoft Windows Betriebssystemen existieren verschiedene Arten an Kerneltreibern. Während bei Gerätetreibern ein strenger Entwicklungsprozess mit Fokus aus Security herrscht, sieht das Ganze bei „Software“ Treibern, etwa für Diagnosedaten, anders aus. Mögliche Softwarefehler und bekanntgewordene Schwachstellen werden daher von Schadcodeentwicklern und Cyberangreifern aktiv ausgenutzt.

„Wenn Hacker in den Windows-Kernel auf x64-Systemen gelangen wollen, müssen die Treiber signiert sein. Signierte, aber anfällige Treiber sind hierfür eine praktikable Möglichkeit. Diese Technik ist als Bring Your Own Vulnerable Driver, kurz BYOVD, bekannt und wurde in freier Wildbahn sowohl von bekannten APT-Akteuren als auch in gewöhnlicher Malware beobachtet“, erklärt Peter Kálnai, Senior Malware Researcher bei ESET.

Auf einen Blick „Signierte KernelTreiber Unbewachte Zugänge zum WindowsKern“

· Der Artikel bietet einen tiefen Einblick in die Verwundbarkeiten von Kernel-Treibern.

· Was ist der Windows-Kernel? Der Kernel ist die zentrale Komponente des Windows Betriebssystems.

· Was wurde entdeckt? ESET Forscher haben Schwachstellen in drei Treibern entdecken können.

· Wer nutzt diese Schwachstellen aus? Cheat-Entwickler für Computerspiele nutzen Schwachstellen in signierten Treibern, um die Anti-Cheat-Maßnahmen der Softwarehersteller zu umgehen. Parallel hierzu sind auch mehrere APT Gruppen und Malware-Entwickler aktiv geworden.

· Was sind erfolgreiche Methoden? Selbst einen unsicheren Treiber zu verbreiten, zeigt sich als beliebte Masche für Angreifer – diese Technik wird als „Bring Your Own Vulnerable Driver” (BYOVD) bezeichnet.

· Was sind bekannte Fälle? Zur Verwendung kam BYOVD bei Attacken der „Slingshot“ und „InvisiMole“ APT Gruppen, der „RobbinHood“ Ransomware Familie - sowie LoJax, dem ersten UEFI Rootkit im Cybercrime-Einsatz.

· Wie sehen Abwehrstrategien aus? Der ESET-Blogpost zeigt detailliert auf, welche Schutzmaßnahmen vor solchen Angriffen ergriffen werden können.

 

Die Ergebnisse der Analyse gibt es auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2022/01/13/signierte-kernel-treiber-unbewachte-zugaenge-zum-windows-kern/

Pressekontakt

Thorsten Urbanski
Head of Communication & PR DACH

thorsten.urbanski@eset.de

Michael Klatte
PR-Manager

michael.klatte@eset.de

Christian Lueg
PR-Manager

christian.lueg@eset.de

Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.