Home » News » Cybersecurity » 100 schädliche Treiber entdeckt, die vom Microsoft WHCP signiert wurden

100 schädliche Treiber entdeckt, die vom Microsoft WHCP signiert wurden

Die Entdeckung von 133 bösartigen Treibern, die mit legitimen digitalen Zertifikaten signiert sind, darunter 100 vom renommierten Microsoft Windows Hardware Compatibility Publisher (WHCP), ist äußerst alarmierend. Da Windows-Systeme grundsätzlich den von WHCP signierten Treibern vertrauen, können Angreifer sie installieren, ohne Alarm auszulösen, und dann ungestört böswillige Aktivitäten durchführen.

1 Min. Lesezeit
System hacked alert after cyber attack on computer network. compromised information concept. internet virus cyber security and cybercrime. hackers to steal the information is a cybercriminal

Besonders besorgniserregend sind die sogenannten „EDR-Killer“ unter den entdeckten Treibern. Diese wurden speziell entwickelt, um verschiedene EDR/AV-Software auf den Systemen der Opfer anzugreifen und zu deaktivieren. Es handelt sich um eine Weiterentwicklung ähnlicher Treiber, die bereits im Dezember 2022 von Sophos X-Ops entdeckt wurden. Die übrigen Treiber, von denen 32 von WHCP signiert waren, waren Rootkits. Diese Programme wurden entwickelt, um heimlich vertrauliche Daten zu überwachen, die über das Internet gesendet werden. Nach der Entdeckung meldete X-Ops die bösartigen Treiber sofort an Microsoft, und die Probleme wurden mit dem letzten Patch Tuesday behoben.

Weitere Einzelheiten zu dieser Untersuchung finden sich in einem Blog-Artikel von X-Ops. Dieser Artikel ist eine Fortsetzung eines Beitrags aus dem Dezember 2022, in dem Sophos, Mandiant und SentinelOne über die Signierung mehrerer Treiber durch Microsoft berichteten. Diese Treiber hatten es speziell auf eine breite Palette von AV/EDR-Software abgesehen.

Christopher Budd, Director Threat Research bei Sophos X-Ops, äußerte sich besorgt über die aktuelle Entwicklung: „Seit Oktober letzten Jahres beobachten wir einen beunruhigenden Anstieg von Aktivitäten krimineller Gruppen, die bösartig signierte Treiber ausnutzen, um verschiedene Cyberangriffe, einschließlich Ransomware, durchzuführen. Wir hatten damals vermutet, dass Angreifer diesen Angriffsvektor weiterhin nutzen würden, und dies hat sich nun bewahrheitet. Da Treiber häufig mit dem Kern des Betriebssystems kommunizieren und vor der Sicherheitssoftware geladen werden, können sie bei Missbrauch besonders effektiv sein, insbesondere wenn sie von einer vertrauenswürdigen Autorität signiert sind.

Viele der von uns entdeckten bösartigen Treiber wurden speziell entwickelt, um EDR-Produkte anzugreifen und auszuschalten, was die betroffenen Systeme für eine Reihe bösartiger Aktivitäten anfällig macht. Es ist schwierig, eine Signatur für einen bösartigen Treiber zu erkennen, daher setzen fortgeschrittene Bedrohungsakteure diese Technik bei gezielten Angriffen ein. Darüber hinaus sind diese speziellen Treiber nicht auf einen bestimmten Hersteller beschränkt, sondern zielen auf eine breite Palette von EDR-Software ab. Aus diesem Grund müssen alle IT-Sicherheitsteams sich mit dieser Problematik auseinandersetzen und bei Bedarf zusätzliche Schutzmaßnahmen implementieren. Es ist wichtig, dass Unternehmen die Patches implementieren, die von Microsoft am Patch Tuesday bereitgestellt werden.“

 

Andere interessante News

Trends 2025

Welche Trends 2025 in Sachen KI, Investitionsverhalten und Containment durchschlagen

2025 – ein Jahr des tiefgreifenden Wandels der Cybersicherheit: Künstliche Intelligenz wird neu definiert, Unternehmen kämpfen mit der Balance zwischen Innovation und Sicherheit, u...

Digitaler Chatbot

2. Jahrestag von ChatGPT: Als eine neue KI-Generation die Welt erblickte

Generative KI hat die Welt verändert: Mit der Einführung von ChatGPT vor zwei Jahren wurde Künstliche Intelligenz erstmals alltagstauglich. Sie kommuniziert, versteht und erstellt ...

Digitaler Schlüssel in Schloss

Post-Quanten-Kryptografie: BSI drängt auf Wechsel

Quantencomputer bedrohen die Sicherheit von Online-Banking, Smart-Home-Systemen und Messenger-Diensten. Um dieser Gefahr zu begegnen, ruft das Bundesamt für Sicherheit in der Infor...