:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Windows-Schwachstelle wird ausgenutzt! Angriffe über gefälschte Signatur-Zeitstempel
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Zu den eher ungewöhnlichen IT-Angriffsmethoden zählt das Ausnutzen einer Lücke, die das Signieren und Laden von Kernel-Mode-Treibern in Windows ermöglicht. Dabei wird das Signaturdatum geändert, um gefährliche Treiber zu laden. Wie das genau funktioniert, hat die Cisco Threat Research-Einheit Talos nun detailliert analysiert und beschrieben.
Cyberkriminelle werden immer raffinierter. Sie greifen nicht mehr nur klassisch die Corporate IT-Netzwerke an. Seit Hybrid Work und Videokonferenzen von zu Hause geraten auch immer mehr EinzelnutzerInnen ins Visier, da Cyberkriminelle über sie leicht Zugang zu Unternehmensdaten erhalten können. Einen sehr ausgeklügelten Ansatz stellen Angriffe mit Kernel-Mode-Treibern auf Windows-Rechner dar. Aber wie funktioniert das genau?
Das Windows-Betriebssystem ist in zwei Schichten unterteilt: Im Benutzermodus befinden sich die Dateien und Anwendungen, mit denen die User interagieren. Der Kernelmodus enthält die erforderlichen Treiber und Windows-Funktionen zur Ausführung des Systems. Die Aufteilung des Betriebssystems in diese zwei Modi erzeugt eine streng kontrollierte logische Barriere zwischen User und Windows-Kernel. Mit Hilfe eines bösartigen Treibers kann ein Angreifer diese Barriere nun überwinden und das Zielsystem vollständig kompromittieren.
Aus Sicht der Angreifenden besitzt ein bösartiger Treiber unter anderem folgende Vorteile: Er umgeht die Endpoint Detection, manipuliert System- und Benutzermodusprozesse und bleibt dauerhaft auf einem infizierten System. Daher ist es für Cyberkriminelle sehr attraktiv, Wege zur Umgehung der Windows-Treibersignaturrichtlinien zu finden.
Lücke in der Windows-Treiberrichtlinie
Mit Windows 10 Version 1607 hat Microsoft seine Treibersignaturrichtlinie aktualisiert, um keine Kernel-Mode-Treiber mehr zuzulassen, die nicht an das Entwicklerportal übermittelt und dort signiert worden sind. Dieser Prozess soll sicherstellen, dass die Treiber den Anforderungen und Sicherheitsstandards von Microsoft entsprechen. Allerdings wurden dabei folgende Ausnahmen für ältere Treiber zugelassen:
- 1. Der PC wurde von einer früheren Version auf Windows 10, Version 1607, aktualisiert.
- 2. Secure Boot ist im BIOS ausgeschaltet.
- 3. Der Treiber wurde mit einem Endteilnehmerzertifikat signiert, das vor dem 29. Juli 2015 ausgestellt wurde und mit einer unterstützten Zertifizierungsstelle verbunden ist.
Die dritte Ausnahme erzeugt eine Sicherheitslücke. Denn ein neu kompilierter Treiber lässt sich mit nicht widerrufenen Zertifikaten signieren, die vor dem 29. Juli 2015 ausgestellt wurden oder davor abgelaufen sind. Voraussetzung ist, dass das Zertifikat in der Kette einer Zertifizierungsstelle liegt, welche quersigniert ist. Ist ein Treiber auf diese Weise erfolgreich signiert, wird er nicht daran gehindert, installiert und als Dienst gestartet zu werden. Es wurden mehrere Open-Source-Tools entwickelt, um diese Lücke auszunutzen. Diese sind zum Teil öffentlich zugänglich.
HookSignTool
Ein Beispiel dafür ist das HookSignTool. Es ändert das Signaturdatum eines Treibers während des Signaturvorgangs durch eine Kombination aus Einklinken in die Windows-API und manuellem Ändern der Importtabelle eines legitimen Codesignatur-Tools. Es wurde im Jahr 2019 im chinesischen Software-Cracking-Forum „52pojie[.]cn“ veröffentlicht und ist seit mindestens 2020 auf GitHub verfügbar.
HookSignTool kann theoretisch mit jedem Codesignaturprogramm verwendet werden. Dies ermöglicht das Zusammenspiel mit dem Softwarepaket Microsoft Detours zur Instrumentierung und Überwachung von Windows-API-Aufrufen. Zunächst sind jedoch mehrere Schritte nötig, um HookSignTool funktionsfähig zu machen. Es muss kompiliert und manuell als „HookSigntool.dll!attach“ in die Importtabelle des rechtmäßigen Signaturwerkzeugs aufgenommen werden.
Anschließend kann der User ein gefälschtes Datum als Befehlszeilenargument übergeben oder eine Konfigurationsdatei im selben Verzeichnis wie das Codesignaturprogramm erstellen. Bei der Ausführung des legitimen Codesignaturprogramms wird HookSignTool in den Prozess geladen und kann das Signaturdatum des Zieltreibers abfangen und ändern.
FuckCertVerifyTimeValidity
Ein weiteres Tool zum Fälschen von Treibersignaturen ist FuckCertVerifyTimeValidity, auch bekannt als FuckCertVerify. Es wurde am 13. Dezember 2018 auf GitHub veröffentlicht und hat nicht so viele Funktionen wie das HookSignTool. Ursprünglich wurde das Tool wahrscheinlich zum Signieren von Cheatsoftware für Spiele entwickelt.
FuckCertVerifyTimeValidity funktioniert ähnlich wie HookSignTool. Denn es verwendet Microsoft Detours, um sich an den API-Aufruf „CertVerifyTimeValidity“ anzuhängen und den Zeitstempel auf ein bestimmtes Datum zu setzen. Es muss ebenso eine Funktion zur Importtabelle des legitimen Signaturprogramms hinzugefügt werden, in diesem Fall „FuckCertVerifyTimeValidity.dll!test“. Im Gegensatz zum HookSignTool hinterlässt FuckCertVerifyTimeValidity keine Artefakte in der signierten Binärdatei. Daher lässt sich nur schwer erkennen, dass dieses Tool verwendet wurde.
Nicht widerrufene Zertifikate
Die Fälschung einer Signatur erfordert ein nicht widerrufenes Codesignaturzertifikat, das vor dem 29. Juli 2015 abgelaufen ist oder ausgestellt wurde, sowie den privaten Schlüssel und das Passwort. Als Beispiel gibt es in einem Fork von FuckCertVerifyTimeValidity auf GitHub eine PFX-Datei, die mehr als ein Dutzend solcher Zertifikate enthält. Sie werden häufig zum Fälschen von Signaturen für Gaming-Cheatsoftware sowie für bösartige Treiber verwendet.
Mögliche Gefahren und Abwehrmaßnahmen
Der Cisco Cybersecurity Readiness Index hat gezeigt, dass in Deutschland nur 11 Prozent der Unternehmen wirklich gut auf Cyberangriffe vorbereitet sind. Die Kernel-Treiber-Angriffe belegen das noch einmal und durch den systemnahen Angriffsvektor sind letztlich alle Aspekte der IT-Nutzung potenziell betroffen, von Cloud bis Collaboration. Damit wird auch das Gefahrenpotenzial deutlich: Die Installation von bösartigen Treibern stellt eine ernsthafte Bedrohung für Unternehmen dar, weil sie einem Angreifer System-Zugriff auf Kernel-Ebene geben kann. Zusätzlich lassen sich geknackte Treiber neu signieren, um DRM-Maßnahmen zu umgehen. Dies kann zu Umsatzeinbußen durch Softwarepiraterie führen. Selbst wenn keine böswilligen Absichten vorliegen, verursachen nicht verifizierte Treiber möglicherweise Schäden an einem System.
Daher empfiehlt es sich, nicht ordnungsgemäße Treiber und manipulierte Zertifikate zu blockieren. Bösartige Treiber sind heuristisch nur schwer zu erkennen und lassen sich am effektivsten anhand von Datei-Hashes oder den zu ihrer Signatur verwendeten Zertifikaten identifizieren. Auch der Vergleich des Signaturzeitstempels mit dem Kompilierungsdatum eines Treibers deckt möglicherweise Fälschungen auf. Allerdings können Cyberkriminelle das Kompilierungsdatum ändern, damit es mit dem Signaturzeitstempel übereinstimmt.
Microsoft sperrt regelmäßig Zertifikate, die bei Angriffen zum Einsatz kommen. Zudem implementiert und pflegt der Hersteller eine Treibersperrliste in Windows, die sich jedoch auf anfällige und nicht auf bösartige Treiber konzentriert. Daher sollten sich Unternehmen nicht ausschließlich auf diese Blockierliste verlassen, um Rootkits oder bösartige Treiber abzuwehren.
Sicherheitslösungen wie Cisco Secure Endpoint eignen sich, um die Ausführung bekannter Malware zu verhindern. Auch moderne Firewalls und Malware-Analyseprogramme können gefährliche Aktivitäten im Zusammenhang mit gefälschten Zertifikaten und bösartigen Binärdateien erkennen. Zudem sollten Unternehmen ihre eingesetzten proprietären und Open-Source-Lösungen immer auf den neuesten Stand bringen und die aktuellen Regelpakete zur Entdeckung von Bedrohungen herunterladen.
Cisco Talos stand während der Arbeit zu dieser Recherche in engem Kontakt mit Microsoft – für die Unterstützung und Zusammenarbeit herzlichen Dank. Als Reaktion hat Microsoft alle in diesem Artikel behandelten Zertifikate gesperrt und ein Advisory herausgegeben.
Über den Autor: Thorsten Rosendahl ist Strategic Planning & Communications Lead bei Cisco Talos. Der Cyberexperte arbeitet seit über 25 Jahren für Cisco und beschäftigt sich seit langer Zeit intensiv mit praktischen Fragen der Unternehmenssicherheit.
(ID:49658477)
:quality(80)/p7i.vogel.de/wcms/e7/c7/e7c7a169eaae673b1f5f216bba1e5f28/0115210775.jpeg "Mit den jetzt durch VMware-Foscher bekannt gewordenen Sicherheitslücken könnten Angreifer komplette Windows-Systeme übernehmen und mit Ransomware verseuchen. (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/11/0811ad55664aa6d6272d58eec0544d76/0108951021.jpeg "Mit Windows Server vNext, dem Nachfolger von Windows Server 2022, hält Windows 11 Einzug in die Server-Welt. (Bild: gopixa - stock.adobe.com)")