„`html
Was ist passiert?
Sicherheitsforscher haben nachgewiesen, dass viele Windows-Kerneltreiber aus dem Benutzermodus heraus manipuliert werden können – unabhängig davon, ob die erforderliche Hardware tatsächlich vorhanden ist. Diese Erkenntnis ermöglicht es Angreifern, Schwachstellen in Treibern auszunutzen, die bislang als nicht erreichbar galten, da sie an spezifische Hardware gebunden waren. Das Konzept wird als „Bring Your Own Vulnerable Driver“ (BYOVD) bezeichnet und stellt eine erhebliche Sicherheitslücke dar.
Hintergrund & Bedeutung
Kerneltreiber kommunizieren häufig über Hardware-spezifische Schnittstellen mit der Hardware. Sicherheitsforscher gingen bislang davon aus, dass solche Schwachstellen nur auslösbar sind, wenn die entsprechende Hardware installiert ist. Die BYOVD-Perspektive zeigt jedoch, dass Angreifer diese Hardware-Anforderungen durch Emulation oder Manipulation umgehen können. Dies hat erhebliche Konsequenzen für die Bedrohungslandschaft: Praktisch alle Windows-Systeme werden zu potenziellen Angriffszielen, unabhängig von ihrer Hardware-Ausstattung. Besonders problematisch ist dies für Unternehmen, da viele ältere oder proprietäre Treiber möglicherweise nie patcht werden.
Empfehlungen fuer IT-Teams
- Implementieren Sie Hypervisor-Protected Code Integrity (HVCI) zur Absicherung des Kernels
- Führen Sie regelmäßige Treiber-Audits durch und entfernen Sie unnötige Legacy-Treiber
- Nutzen Sie Driver Block List (DBL) von Microsoft zur Blockierung bekannt anfälliger Treiber
- Aktualisieren Sie alle Treiber auf neueste Versionen
- Überwachen Sie ungewöhnliche Kernelmodus-Aktivitäten
Fazit
Die BYOVD-Methode unterminiert traditionelle Hardware-basierte Sicherheitsannahmen. Unternehmen müssen ihre Treiber-Management-Strategien überdenken und Kernel-Schutzmaßnahmen deutlich verstärken, um diese neue Angriffsklasse zu mitigieren.
Quelle: Original Artikel
„`