Die Idee ist an sich nicht schlecht: Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, von Microsoft digital signiert sein. Dies soll verhindern, dass jemand auf diesem Weg Schadcode einschleust und so etwa über einen modifizierten Treiber die komplette Kontrolle des Systems übernehmen kann. Dieser Schutz ist aber natürlich nur so stark wie die damit einhergehenden Prüfungen durch den Hersteller. Und an deren Qualität nährt nun ein aktueller Vorfall ernsthafte Zweifel.

Rootkit mit dabei

Der Sicherheitsforscher Karsten Hahn von GData hat einen mit einem Rootkit versehenen Netfilter-Treiber entdeckt, den eines von anderer Schadsoftware unterscheidet: Er wurde offiziell von Microsoft signiert. Wer ihn installierte, war also im Glauben, vor Schadsoftware sicher zu sein, während in diesem Fall exakt das Gegenteil der Fall ist.

Das betreffende Rootkit nahm nach der Installation sofort Kontakt mit einem "Command and Control"-Server auf, über den dann das System von außen kontrolliert werden konnte. Zudem wurde ein Root-Zertifikat installiert, und es gibt auch einen Update-Mechanismus, um die Schadsoftware auf den neuesten Stand zu bringen. Darüber hätten also auch noch andere Schadroutinen nachgeladen werden können.

Reaktion

Bei Microsoft bestätigt man den Vorfall mittlerweile. Demnach sei der betreffende Treiber über das Windows Hardware Compatibility Program (WHCP) eingereicht worden. Wieso man das Rootkit nicht entdeckt hat, verrät der Softwarehersteller allerdings nicht. Allerdings versichert man, dass der verantwortliche Softwarehersteller mittlerweile gesperrt wurde.

Parallel dazu versucht Microsoft seine Nutzer zu beruhigen: Die Täter scheinen es nämlich auf eine spezifische Opfergruppe abgesehen zu haben, die für den westlichen Markt nicht relevant ist. Konkret zielen sie hauptsächlich auf den Spielesektor in China ab, heißt es. Zudem gebe es keinerlei Belege, dass Firmen von dem Vorfall betroffen sind. Auch geht Microsoft derzeit nicht davon aus, dass staatliche Angreifer hinter der Attacke stehen.

Den eigenen Nutzern empfiehlt Microsoft das Einspielen der aktuellsten Sicherheitsaktualisierungen. Das sorge dafür, dass der betreffende Treiber über den Windows Defender blockiert werde. (apo, 28.6.2021)