Derzeit passiert etwas, das es in der Theorie so gar nicht geben dürfte. Treiber mit Signaturen tragen Viren und weiteren Schadcode auf Windowssysteme.
Dabei sind Signaturen so was wie ein Garant für Echtheit und Vertrauen in der digitalen Welt. Wird dieses Prinzip aufgeweicht, so haben wir insgesamt ein großes Problem. Genau solch ein Problem scheint aktuell hausgemacht bei Windowssystemen. Microsoft hat als Hersteller ein großes bestreben, eine einfache Unterstützung für alle möglichen Hardware zu bieten. Auch altes Equipment soll möglichst noch mit Windows Geräten der neuesten Genration funktionieren. Nicht zuletzt durch Kundenstimmen, die dieses fordern. Auch wir sind in unserer täglichen Arbeit mit Aussagen konfrontiert wie „Soll ich mir nun einen neuen Drucker/Scanner/Soundstudio etc. kaufen, nur weil ich ein aktuelles Windows installiere?“ Die Antwort lautet „Ja“, wenn der Hersteller keine Treiber mehr anbietet. Sei es, weil das Produkt nicht mehr unterstützt wird, oder weil der Hersteller dieser Komponente nicht mehr existiert.
Viele Kunden fordern aber eine langfristige Unterstützung. Die Problematik hat Microsoft in sofern erkannt, dass Treiber mit veralteten und abgelaufenen Signaturen vor einem Bestimmten Datum über Windows Update installiert werden dürfen. Ohne Prüfung, direkt in den Kernel Mode (dem Herzen des Systems). Schadsoftware, die einmal den Kernel Mode erreicht hat, ist quasi allmächtig auf dem System und für viele Schutzprogramme unsichtbar.
Eine schnelle Abhilfe scheint nicht in Sicht, da Microsoft wohl bekannte Zertifikate, die für Signaturen von solchen Treiben verwendet werden, individuell sperren muss.
Was können Kunden tun? Lassen Sie sich kompetent beraten, nehmen Sie den Rat Ihres IT-Betreuers ernst, wenn dieser Ihnen vorschlägt nicht mehr unterstützte Hardware auszutauschen. Zudem erarbeitet Ihr IT-Dienstleister mit Ihnen einen Plan für Produktionsumgebungen, wie Sie mit diesem Angriffsvektor umgehen können.
Wir bieten Ihnen eine proaktive Überwachung Ihrer IT-Systeme zu einem attraktiven Festpreis an. Fragen Sie uns und lassen Sie Ihre Rechner vom Client bis zum Server professionell überwachen. Mit unserem Partner O&O Software sammeln wir Telemetrie-Informationen Ihrer PCs und Server in einem deutschen Rechenzentrum. Mitarbeiter von OZ-IT bewerten Ihren Sicherheitsstatus, Update-Aktualität und Systemgesundheit. Auf Wunsch automatisieren wir Standardaufgaben in der Administration. Zudem erhalten Sie regelmäßige Berichte über Ihre Landschaft und wir diskutieren mit Ihnen individuelle Maßnahmen zur Erhöhung von Zuverlässigkeit und Sicherheit Ihrer IT.
Weitergehene Links:
Malware in über 100 signierten Windows-Treibern gefunden: Microsoft reagiert | heise online
KB5029033: Hinweis auf Ergänzungen zur Windows Driver.STL-Sperrliste – Microsoft-Support
Microsoft Revokes Malicious Drivers in Patch Tuesday Culling – Sophos News