Neue Windows-Sicherheitslücken: besorgniserregend- und noch nicht geschlossen.

Bereits im Sommer haben wir wiederholt über die große Gefahr berichtet, die von sogenannten Zero-Day-Exploits ausgeht. Schwachstellen in IT-Systemen also, die zwar entdeckt worden sind, für die es aber noch keinen Patch gibt. Üblicherweise sind es IT-Sicherheitsunternehmen und Softwarehersteller selbst, die an der Entdeckung und Schließung jener Sicherheitslücken beteiligt sind. Nicht selten kommt es leider jedoch vor, dass böswillige Hacker Schwachstellen zuerst entdecken und für Ihre Zwecke ausnutzen oder ihre Erkenntnisse meistbietend verkaufen. 

https://www.shutterstock.com/de/image-photo/system-hacked-warning-alert-on-notebook-2247888569

Im vorliegenden Fall hat der IT-Dienstleister VMware mit einem ausgeklügelten System ganze 34 mangelhafte Treiber im Windows-Betriebssystem gefunden, die ein Einfallstor für Angreifer darstellen. Sie erlauben nicht nur Zugriff auf das gesamte System, sondern machen es zum Teil zudem möglich, dass Daten gelöscht oder verschlüsselt werden; darüber hinaus können Angreifer sich selbst Administratorrechte zuschreiben und damit endgültig die Kontrolle übernehmen. 

Dies ist zurückzuführen auf Microsoft Windows' unzureichende Sicherheitsinfrastruktur, die die Zusammenarbeit mit Treibern auch dann erlaubt, wenn deren Sicherheitszertifikate abgelaufen oder widerrufen worden sind.

Um dem entgegenzuwirken hat Microsoft in 2022 ein neues Feature (HVCI) veröffentlicht, das verhindern soll, dass gefährdete bzw. gefährdende Treiber geladen werden. Wie funktioniert dieser Kontrollmechanismus? Sehen wir uns HVCI einmal an:

Bildquelle: Shutterstock

HVCI steht für "Hardware-Enforced Stack Protection" und ist eine Sicherheitsfunktion, die in neueren Versionen von Microsoft Windows implementiert ist, insbesondere ab Windows 10 und Windows Server 2016. HVCI nutzt virtualisierungsbasierte Sicherheit (VBS), um den Speicher und die Ausführung von Code auf Betriebssystemebene zu schützen. Hier sind einige wichtige Punkte zu HVCI:

• Isolation durch Virtualisierung: HVCI nutzt die Fähigkeiten moderner CPUs zur Hardware-Virtualisierung, um kritische Teile des Betriebssystems in einer isolierten Umgebung auszuführen. Diese Isolation hilft, sie vor Malware und anderen Sicherheitsbedrohungen zu schützen.

• Schutz des Kernel-Speichers: Eine der Hauptfunktionen von HVCI ist der Schutz des Kernel-Speichers vor unautorisierten Zugriffen und Manipulationen. Es verhindert, dass Code im Kernel-Modus ausgeführt wird, es sei denn, er ist richtig signiert und vertrauenswürdig.

• Prävention gegen Malware: HVCI erschwert es Malware, sich im System einzunisten und privilegierten Code auszuführen, da nicht signierte Treiber und Software, die im Kernel-Modus läuft, blockiert werden.

• Kompatibilität: HVCI kann Probleme mit einigen älteren Treibern oder Software verursachen, die nicht für die Arbeit mit dieser Art von Sicherheitsumgebung entwickelt wurden. Deshalb ist es wichtig, dass alle Kernel-Modus-Treiber korrekt signiert und für die Verwendung mit HVCI aktualisiert sind.

• Leistungsaspekte: Obwohl HVCI zusätzliche Sicherheit bietet, kann es in einigen Fällen zu einer geringfügigen Leistungseinbuße kommen, da zusätzliche Verarbeitungsschritte erforderlich sind, um die Isolation und die Sicherheitsüberprüfungen durchzuführen.
  
  

Die entscheidende Schwäche von HVCI ist, dass es lediglich problematische Treiber blockiert, die zuvor bekannt sein müssen. Das Ganze ist also wenig hilfreich bei einem Zero-Day-Exploit, in dessen Natur es liegt, dass eine bislang öffentlich unbekannte Sicherheitslücke ausgenutzt wird. 

Hier wird Microsoft auf lange Sicht deutlich nachbessern müssen, um in Fragen der Sicherheit nachhaltig besser für die Zukunft gerüstet zu sein. 

Bildquelle: Shutterstock

In der Zwischenzeit sind im Zuge des Microsoft-Patchdays im November 2023 immerhin für einige der erkannten Bedrohungen entsprechende Patches veröffentlicht worden, die nun von Administratoren und Endnutzern schnellstmöglich installierst werden sollten. Der Microsoft-Patch-Day erfolgt an jedem zweiten Dienstag im Monat; die Updates sollten automatisch installiert werden, wenn Sie diese Funktion aktiviert haben. Anderenfalls lassen sich die Updates auch hier herunterladen und mehr über die einzelnen Patches nachlesen. 

Wir schließen in unseren betreuten Systemen solche Sicherheitslücken ganz automatisch nach Bekanntwerden. So bleiben Sie bis zur Schließung durch Microsoft geschützt.

Wenn Sie mehr Fragen zum Thema haben oder Unterstützung bei der Installation der Updates brauchen, kontaktieren Sie uns gerne jederzeit!