Verschlüsselung & Datensicherheit

Neue Analyse-Plattform: Windows-Treiber auf Trojaner untersuchen

Microsoft bietet einen neuen Online-Service an, bei dem Entwickler und Sicherheitsforscher sich verdächtig verhaltende Treiber zur Analyse hochladen können.

Oft laufen Windows-Treiber mit Kernel-Rechten. Schafft es ein Angreifer an dieser Stelle manipulierend einzugreifen, könnte er Malware tief im System verankern. Um dem vorzubeugen, stellt Microsoft ab sofort eine Analyse-Plattform für Treiber bereit.

Wie aus einem Beitrag hervorgeht, können Entwickler und Sicherheitsforscher auf der Plattform potenziell gefährliche Windows-Treiber (x86 und x64) hochladen. Optional können Uploader im Formular Angaben zum Verhalten des Treibers eintragen. Beispielsweise ob er Schreibzugriff auf den Speicher hat.

Trojanisierte Treiber blockieren

Im Anschluss startet im ersten Schritt eine automatische Analyse. Dabei wird Microsoft zufolge etwa untersucht, ob der Treiber Kernel-Zugriff hat. Bei Auffälligkeiten guckt sich dann ein Sicherheitsforscherteam den Treiber an. Dabei entdeckte Sicherheitslücken sind dem Unternehmen zufolge aber nicht für das hauseigene Bug-Bounty-Programm zugelassen.

Schlägt die Analyse Alarm, sollen Defender for Endpoint und Windows Defender betroffenen Treiber automatisch blockieren. Treiber-Attacken sorgen immer wieder für Schlagzeilen. Beispielsweise im Zuge der Uroburos-Spionage-Kampagne im Jahr 2014. Mit dem Rootkit, bestehend aus einem bösartigen Treiber und einem verschlüsselten virutellen Dateisystems, konnten Angreifer die Kontrolle über Computer erlangen und beispielsweise Netzwerkverkehr mitschneiden.

In einer Checkliste zur sichereren Treiberentwicklung hat Microsoft wichtige Tipps für Entwickler zusammengetragen. Der erste Punkt ist etwa, dass Entwickler prüfen sollten, ob ein Treiber zwingend Kernel-Zugriff haben muss. Wer diese Hinweise befolgt, kann die Angriffsfläche deutlich verringern.

Quelle: heise online Redaktion

Weiter Informationen zum Thema Verschlüsselung und Datensicherheit finden Sie hier.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben