Malware in mehr als 100 signierten Windowstreibern - Offline-Scan empfohlen

[harpo]

Gerade bei Heise gelesen:

Malware in über 100 signierten Windows-Treibern gefunden: Microsoft reagiert

Malware versteckt sich in 133 Windows-Treibern mit gültiger digitaler Signatur. Jetzt hat Microsoft diese blockiert und die Entwicklerlizenzen suspendiert.

www.heise.de

Es wurden wohl Zertifikate gestohlen bzw. weiter verkauft, die zur Signierung etlicher Windows-Treiber verwendet wurden, die Schad- bzw. Spionagesoftware enthielten. Diese können teilw. als Rootkits fungieren und Netzverkehr überwachen, Daten abgreifen, etc.
Microsoft hat mit Sperrlisten reagiert (anscheinend bereits seit 02.03.2023), die das Laden solcher identifizierter Treiber verhindern sollen. Man soll also unbedingt die Windows- und Defender-Updates aktuell halten (was ja sowieso immer gilt). Diese werden auch regelmäßig erweitert - hier ist demnach wohl noch nicht das Ende der Fahnenstange.

Des weiteren ist bei MS selbst zu lesen, dass man per Windows-Defender einen Offline-Scan ausführen soll, um derartige Treiber, die bereits vor dem 2. März 2023 auf's System gelangt sind, aufzuspüren und zu beseitigen:

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

 

[Schwartz]

Hier sind die Hashes aller Treiber die derartig infiziert sind. -> https://github.com/sophoslabs/IoCs/blob/master/maldrivers_release_2.csv

Microsoft macht es uns natürlich nicht einfach indem man irgendwo eine Liste finden könnte mit Namen der jew. Treiberprodukte und Firmen. Sophos immerhin tut es.

Among the certificate owners of the non-WHCP signed drivers, the certificate details reveal they had been issued to companies whose names indicate they are based in China. These certificates were owned by the following company names:

• Beijing Kate Zhanhong Technology Co.,Ltd.
• Zhuhai liancheng Technology Co., Ltd.
• Beijing JoinHope Image Technology Ltd.
• 海南巨灵网络科技有限公司 (Hainan Giant Spirit Network Technology Co., Ltd.)
• Shenzhen Luyoudashi Technology Co., Ltd.
• Chengdu Lule Cube
• Bopsoft

Drivers with capabilities similar to those found in the course of this investigation will be detected with any or all of the following signatures: Mal/Rootkit-BE, Troj/Rootkit-VE, Troj/Agent-BJJB, Mal/Rootkit-VF, Troj/Rootkit-ND, Troj/Rootkit-NH, Troj/Rootkit-NO, Troj/Rootkit-NP, or Troj/Rootkit-NS.

Klingt nach einer heftigen Schlappe.

 

[albert66]

Der für mich entspr. KB5028166 (Win 10 64bit 22H2) ist noch während Heise lesen per upgrade (derweil angefragt) eingetrudelt. Werde mal wieder Defender-offline machen, sobald install completed, kann nicht schaden.

Danke für die Info. Peter

 

[shadone]

Defender offline will hier auf dem System nicht starten, "speichern Sie ihre Arbeit" kommt, danach die Benutzerkontensteuerung und das war es dann..
Auf dem anderen System vorhin lief das einwandfrei durch, bin etwas ratlos, was nun hier die Meldung "System muss neu gestartet werden" (oder so ähnlich verhindert..

 

[Schwartz]

Vielleicht dass heute Patch-Tag war und das Update den Neustart braucht. Ist jedenfalls kein Fall von "Der Virus wehrt sich!"

 

[shadone]

Updates vom Patchday sind drin und der Neustart natürlich auch, hätte ich erwähnen sollen..

 

[mectst]

Bei mir scheint Defender Online durchgelaufen zu seien. Zunächst wurde das System zuerst neu gebootet und nach ca. 30 Minuten fand ich den Rechner mit dem regulären Login-Screen vor. Was mich etwas wundert ist, kann bei mir dann keine weitere Meldung mehr gekommen ist, ob etwas gefunden wurde oder nicht. Ich gehe aber mal davon aus, dass mein Rechner sauber ist.

Grüße Thomas

 

[albert66]

Da ist vermutlich die Reihenfolge schief gelaufen. Nach dem update war restart fällig. Der dauert, weil da noch am Update nachgearbeitet wird. Danach Login und Defender-Offline. Wie auf der Schulbank : "..... und jetzt wiederholen wir das ganze offline (Defender) noch mal langsam von vorne.".

(Beim Offline-Defender kommt ein eigener Screen, den kann man nicht übersehen.)
Gruß Peter

 

[mectst]

Beim Offline-Defender kommt ein eigener Screen, den kann man nicht übersehen.

Nicht bei mir, hier nur der Login-Screen und nach der Anmeldung der übliche Desktop (E570 aus der Signatur, alles auf neuestem Stand).

Grüße Thomas

 

[TheGrey]

Weißt du dass man den offline defender manuell über Windows Defender security starten muss? Zumindest kann man ihn dort starten.

 

[mectst]

Genau so habe ich es getan. Wie angekündigt kam dann ein Reboot und ich hab den Rechner werkeln lassen, mit dem beschriebenen Bild, als ich zurück gekommen bin.

Grüße Thomas

 

[Korfox]

Das ist korrekt. Der Rechner bootet in den Defender Screen, es kommt ein Kommandozeilenfenster mit Status und dann wird automatisch neu gestartet und es geht in den Login Screen des ersten Betriebssystems in der Bootreihenfolge.

 

[mectst]

Danke für die Aufklärung.

Grüße Thomas

 

[albert66]

Check ob "Defender offline scan" lief (aus serverfault.com/questions ):

Go to C:\Windows\Microsoft Antimalware\Support\ open msssWrapper.log

Ziemlich am Ende bei mir (nach upgrade und offline-scan, als Beispiel von gestern nach dem upgrade):

INFO 2023/07/12 22:28:51:607 TID:1436 PID:1404
Offline scan completed with 0x00000000

Gruß Peter

PS im eventlog (Event Viewer) für "Windows Defender" paßt dazu event 2030.

 

[ebastler]

Lief bei mir mit 2 TB SSD (~ halbvoll) in ein paar Minuten durch - geht schneller als man erwarten würde und danach landet man ganz normal am login screen. Ist also einfach zu verpassen.

 

[elchmartin]

ich nehme an es werden nur sensible bereiche gecheck, nicht die userdaten.
bei meinen bisher 2 geprüften geräten (2x Lenovo Laptop) hab ich bisher nix gefunden.
mal sehen was gleich beim Eigenbau-PC passiert

 

[x230fan]

Um mal wieder zurück auf den Eingangspost zu kommen:

Das Problem stellt sich einem doch nicht, wenn man seine Treiber nur über Windows Update und den PC-/Notebookhersteller bezieht (es sei denn der Hersteller wäre gehackt oder irgendeine China-Noname-Bude).
Von daher verstehe ich den riesigen Hype darum nicht, seit Jahrzehnten prügeln wir "Nerds" unserem Umfeld doch schon ein, keine Software unbekannter Herkunft zu installieren und 99% aller Nutzer aktualisiert seine Treiber ohnehin nicht, wenn es nicht automatisch durch Windows Update oder ein Herstellertool passiert.
Deswegen halte ich das mal wieder für einen Sturm im Wasserglas. Ein Problem, das eigentlich alltäglich ist (manipulierte und signierte Treiber/ Software gibt es für viele Betriebssysteme schon quasi immer) und nur eine sehr begrenzte Anzahl an Leuten betrifft... aber scheinbar sind wir schon im Sommerloch.

 

[linrunner]

@x230fan : was macht dich so sicher, dass den Eignern dieser Schlüssel, die nicht richtig auf selbige aufpassen konnten, nicht noch mehr abhanden gekommen ist? Z.b. Zugangsdaten für den Upload für Windows Update? Bekannte Herkunft ist kein Schutz gegen Lieferkettenangriffe.

 

[albert66]

Ebenfalls @x230fan : Ich nutze seriöses Zubehör (Funk, Meßgeräte, Chiptan, ...........meistens per USB), lizenzierte Software dazu vom Hersteller (meistens inkl. Driver oder Link zum Driver) und da kommt einiges nicht von Lenovo oder dem PC-Hersteller, einiges kommt auch erst sehr verspätet mit passender Version von MS. Ich sehe die Info auch nicht als Hype, sondern als eine sinnvolle Erinnerung daran, mal wieder einen Defender-offline Scan zu machen (der zumindest bei mir nicht automatisiert läuft).

Nun ja, damit oute ich mich wohl zu den sehr begrenzten Leuten, die nicht nur Spiele, Videos und TV auf dem Thinkpad nutzen. (und sich für den Tip bedanken bzw. bereits haben).

Gruß Peter

 

[bemymonkey]

Kann jemand mal diese Sicherheitslücke für mich als scheinbar zu Dummen erklären? Ich verpsüre nämlich noch nicht die scheinbar angebrachte Panik

Die (automatische) Installation eines Treibers ist doch in der Regel an ein im System vorhandenes Stück Hardware gekoppelt - damit wäre doch die Voraussetzung für die Malware auch, dass jemand die entsprechende Hardware gekauft hat, oder? Vielleicht irgendwelche billigen AliExpress USB Geräte?

Es ist ja nicht so, dass jetzt der Shenzen Malware Tech Inc. GeForce Treiber den offiziellen nVidia Treiber aus Windows Update raus kickt und dann beim nächsten Update Diesen ersetzt, oder?

Oder gibt es noch ein ganz offensichtliches Einfallstor bei dem diese Treiber ganz unaufgefordert über Windows Update installiert werden? Oder geht's Euch womöglich gar nicht um automatische Updates? Worum denn dann?