Home » News » Security Management » BSI veröffentlicht Analyseergebnisse zum Windows-10-Treibermanagement

BSI veröffentlicht Analyseergebnisse zum Windows-10-Treibermanagement

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Analyseergebnisse eines wichtigen Teils im Treibermanagement von Windows 10 veröffentlicht. Der "Device Setup Manager Service" (DsmSvc) ist ein Dienst in der Plug-and-Play-Infrastruktur von Windows 10.

1 Min. Lesezeit
Foto: ©AdobeStock/Denys Rudyi

Wenn ein Gerät angeschlossen wird und einen Treiber benötigt, startet der PnP-Manager den DsmSvc nach Bedarf, um die Installation der erforderlichen Treiber zu koordinieren. Das BSI bewertet diesen Dienst als kritisch.

Die Veröffentlichung ist Teil einer gründlichen Sicherheitsanalyse des Bundesamts für Sicherheit in der Informationstechnik (BSI), bei der sicherheitskritische Funktionen von Windows 10 untersucht werden. Das Ziel ist es, die Sicherheit und potenzielle Risiken für die Nutzung von Windows 10 zu bewerten und Bedingungen für einen sicheren Betrieb zu identifizieren. Dadurch werden praxisnahe Empfehlungen für die Absicherung und den sicheren Einsatz von Windows 10 entwickelt.

Die Plug-and-Play (PnP)-Implementierung von Windows 10 ist in eine komplexe Infrastruktur eingebettet, die verschiedene Teile des Betriebssystems umfasst, einschließlich des Kernelbereichs und der Benutzeroberfläche. Trotz historischer und struktureller Faktoren, die zu ihrer weiten Verbreitung beitragen, stellt die Technologie aus Sicherheitssicht die Funktionstrennung durch die Verteilung ihrer Komponenten sicher.

Im PnP-Kontext fungiert der „Device Setup Manager Service“ (DsmSvc) als Verteilungspunkt und Taskscheduler, der die automatisierte Installation und Konfiguration von Hardwaregeräten und Treibern ermöglicht. Hierbei ist der Dienst jedoch auf andere Komponenten angewiesen, um Aufgaben wie das Abrufen von Daten abzuarbeiten, die für die Durchführung der automatisierten Prozesse von entscheidender Bedeutung sind.

Die Tatsache, dass die PnP-Technologie, unterstützt durch ihre DsmSvc Komponente, automatisch ohne jeglichen Benutzereingriff funktioniert, hat sowohl Vor- als auch Nachteile. So erlaubt sie die automatische Installation einiger Treiber aus dem Treiberspeicher, ohne dass Administratorrechte erforderlich sind. Wenn jedoch unbefugter Zugriff auf den Treiberspeicher erlangt wird, kann ein bösartiger Treiber installiert werden, der die Sicherheit des gesamten Systems gefährdet. Da der Prozess automatisiert und transparent ist, ist die Nachverfolgung böswilliger Aktivitäten in diesem Zusammenhang eine Herausforderung. Auch wenn ein Treiber ohne Benutzerinteraktion geladen werden kann, muss der Treiber dennoch über eine gültige Signatur verfügen.

Zusammenfassend lässt sich sagen, dass die automatische PnP-Technologie einen Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit darstellt. Um mehr Kontrolle zu erlangen, kann der automatische Prozess deaktiviert oder der Treiberspeicher gehärtet werden, ähnlich wie beim Härtungsprozess des Stammzertifikatspeichers.

Andere interessante News

Rotes Ausrufezeichen vor dunklen Dateisymbolen

Neuer Threat Report analysiert die Rolle von ERP-Kompromittierung bei Ransomware

Ein aktueller Report belegt wachsendes cyberkriminelles Interesse an ERP-Schwachstellen und deren Ausnutzung für Ransomware-Attacken und Datenschutzverletzungen. Angeblich hat sich Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 Prozent erhöht.

Compliance-Regeln: Businessfrau arbeitet am Tablet

Wie die Blockchain die Compliance von DMS pusht

Wo der Schutz sensibler Informationen höchste Priorität hat, gewinnt die Integration von Blockchain-Technologie in Dokumentenmanagement-Systeme (DMS) an Bedeutung. Diese Entwicklung markiert einen Schritt hin zu sicherer und rechtskonformer Datenverwaltung.

Botnet

Jahrzehntelange rumänische Botnet-Operation aufgedeckt

Sicherheitsforscher haben eine komplexe und langjährige Botnetz-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird. Diese Operation ist vermutlich bereits seit mindestens zehn Jahren aktiv. Diese Entdeckung beleuchtet eine langanhaltende Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.