News

Ransomware-Gruppe Cuba – Microsoft verhindert bösartige Treibersignierung

Microsoft unterbindet Signierung bösartiger Treiber

Microsoft sperrte mehrere Konten in seinem Hardware-Entwicklerprogramm, das bösartige Treiber signierte, die von einer Ransomware-Gruppe namens Cuba verwendet wurden, um Sicherheitstools für Endpunkte zu deaktivieren. Die Treiberzertifikate wurden widerrufen und betroffene Treiber befinden sich nunmehr auf einer Sperrliste. Wie die Cyberkriminellen vorgingen und was den Kernel eines Betriebssystems auszeichnet, erfahren Sie in diesem Blogbeitrag.

Die Leistungsfähigkeit von Kernel-Treibern

Der Kernel ist der sensibelste Teil eines Betriebssystems, in dem Code mit den höchsten Privilegien ausgeführt, der die vollständige Kontrolle über den Computer und seine Hardware hat. Um alle Hardwarekomponenten zu kommunizieren und zu steuern, verwendet der Kernel spezielle Codeteile, sogenannte Gerätetreiber, die entweder von Microsoft oder von Hardwarefirmen entwickelt wurden.

In den Tagen von Windows XP waren Rootkits (Root-Level-Malware) eine häufige Bedrohung und nutzten oft böswillige nicht signierte Treiber, aber mit Windows Vista und Windows 7 begann Microsoft, diese Lücke zu schließen, indem es die Überprüfung der Treibersignatur erzwang.

Derzeit unterstützte Versionen von Windows, somit Windows 10 und Windows 11, erlauben Benutzern nicht, einen Kernelmodustreiber zu installieren, der nicht von Microsoft über das Windows-Hardwareentwicklerprogramm digital gegensigniert wurde. Damit der Treiber für die Verteilung über Windows Update geeignet ist, muss er auch von Microsoft zertifiziert werden.

Diese neuen Sicherheitsfunktionen haben die Verwendung bösartiger Treiber zu einem seltenen Ereignis gemacht, aber einige erfahrene Gruppen haben eine Problemumgehung gefunden: das Ausnutzen von Schwachstellen in legitimen und vertrauenswürdigen Treibern. Dadurch entstand ein neues Problem, denn selbst wenn ein Treiberhersteller eine neue Version veröffentlichte, um eine Schwachstelle zu beheben, konnte ein bösartiges Programm nicht daran gehindert werden, eine ältere Version des Treibers auf den Systemen der Benutzer bereitzustellen.

Microsoft hat daraufhin eine Sperrliste für anfällige Treiber erstellt, die jedoch erst mit dem im September 2022 veröffentlichten Windows 11 2022-Update standardmäßig aktiviert ist. Für Windows 10 20H2 und Windows 11 21H2 ist es nur als optionales Update verfügbar. Darüber hinaus wird diese Liste nur ein- oder zweimal pro Jahr aktualisiert, wenn größere Windows-Versionen veröffentlicht werden. Eine andere Möglichkeit, diese Sperrliste anzuwenden, ist die Windows Defender Application Control (WDAC).

Die meisten Angriffe auf Kernel-Treiber haben typischerweise die Form BYOVD (Bring Your Own Vulnerable Driver) angenommen. Jüngste Beispiele sind die Ransomware BlackByte, die einen anfälligen Übertaktungstreiber für Grafikkarten verwendete, und ein anderer Ransomware-Akteur, der einen anfälligen Anti-Cheat-Treiber missbraucht, der vom Softwareherausgeber des Videospiels Genshin Impact erstellt wurde.

Cuba-Ransomware bringt Angriffe auf die nächste Stufe

Die jüngsten Angriffe der Cuba-Ransomware-Gruppe, die ursprünglich Ende September und Oktober beobachtet wurden, stellten eine Eskalation des Missbrauchs von Windows-Kerneltreibern dar, weil sie bösartige Kerneltreiber verwendeten, die sie über einen legitimen Kanal erhalten hatten: Konten des Windows-Hardwareentwicklerprogramms.

„Wir wurden am 19. Oktober 2022 von SentinelOne, Mandiant und Sophos über diese Aktivität informiert und haben anschließend eine Untersuchung dieser Aktivität durchgeführt“, sagte Microsoft in seinem Advisory. „Diese Untersuchung ergab, dass mehrere Entwicklerkonten für das Microsoft Partner Center daran beteiligt waren, bösartige Treiber einzureichen, um eine Microsoft-Signatur zu erhalten. Ein neuer Versuch, am 29. September 2022 einen bösartigen Treiber zum Signieren einzureichen, führte zur Sperrung der Konten der Verkäufer Anfang Oktober.”

Microsoft hat auch Sicherheitsupdates veröffentlicht, die die Zertifikate widerrufen, die zum Signieren der bösartigen Treiber verwendet wurden.

Die Cuba-Ransomware-Gruppe verwendete den Treiber im Rahmen von Post-Exploitation-Aktivitäten in Verbindung mit einer bösartigen Loader-Anwendung, deren Zweck es wahrscheinlich war, die Prozesse von Sicherheitsprodukten vor dem Einsatz der Ransomware zu beenden. Dieses bösartige Dienstprogramm wurde bereits früher beobachtet und Mandiant nannte es im Februar 2022 BURNTCIGAR.

Nachdem die neueste Version des Tools gefunden wurde, die direkt von Microsoft über das Hardwareentwickler- und Treiberzertifizierungsprogramm signiert wurde, durchsuchten die Sophos-Forscher Malware-Datenbanken, einschließlich VirusTotal, nach früheren Versionen. Sie fanden Varianten des Tools und des zugehörigen Treibers, die mit einem Nvidia-Zertifikat signiert waren, das von der Hackergruppe Lapsus$ geleakt wurde, sowie Zertifikate von zwei chinesischen Unternehmen, von denen eines ein Herausgeber von Softwaretools ist, die von Antivirus-Anbietern häufig als potenziell unerwünscht gekennzeichnet werden.

Dies zeigt eine Entwicklung der Taktiken dieser Gruppe im vergangenen Jahr: vom Missbrauch legitimer, aber anfälliger Treiber über den Missbrauch gültiger Codesignaturzertifikate von Herausgebern mit zweifelhafter Herkunft bis hin zur endgültigen Infiltration des Microsoft-Hardwareentwicklerprogramms und der direkten Signierung ihrer Treiber durch Microsoft.

Wenn Sie sich vor den neusten Cyberbedrohungen schützen möchten, sollten Sie stets eine aktuelle Antivirensoftware verwenden. Bei Softwarekaufen24 finden Sie effiziente Lösungen wie Kaspersky Plus 2023 und ESET NOD32 Antivirus 2023 zu einem herausragenden Preis-Leistungs-Verhältnis.

Daniel Rottländer

Recent Posts

Ashampoo Backup Pro 26 – die Features im Überblick

Ashampoo Backup Pro 26 im Detail: Funktionen & Vorteile Wenn Sie sich fragen, wie Sie…

4 Tagen ago

Google-Suche mit KI – nun auch in Deutschland verfügbar

Google bringt KI-gestützte Suche nach Deutschland Künstliche Intelligenz (KI) findet in immer mehr Bereichen Einzug.…

6 Tagen ago

GDC 2025 – neue DirectX Raytracing 1.2 Features enthüllt

DirectX Raytracing 1.2 – neue Version auf GDC 2025 vorgestellt Microsoft hatte auf der Game…

1 Woche ago

Gibberlink – neue Technologie für die KI-Kommunikation

Gibberlink: Wenn Künstliche Intelligenzen miteinander reden In den vergangenen Monaten haben zwei Software-Ingenieure von Meta…

2 Wochen ago

Warnung vom BSI: Malware-Angriffe per Captchas

BSI-Warnung: Gefährliche Captcha-Fallen verteilen Malware Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell…

2 Wochen ago

Microsoft Word Tastenkombinationen im Überblick

Microsoft Word Tastenkombinationen – die Wichtigsten im Überblick Microsoft Word kann weit mehr, als Text…

2 Wochen ago