Windows EFS: Sicherheitsanbieter verbessern Schutz vor Ransomware-Angriffen

Forscher haben einen Angriff mit Ransomware auf Windows-Systeme mit verschlüsseltem Dateisystem (Encrypting File System, EFS) entwickelt, den signaturbasierte Antivirenprogramme offenbar nicht verhindern können. Die Anbieter von Sicherheitslösungen stellen nun Updates bereit, um diese Lücke zu schließen.

In einem gestern veröffentlichten Untersuchungsbericht beschreibt Amit Klein, Vice President of Security Research bei Safebreach Labs, wie das Windows Encrypting File System von Ransomware missbraucht werden kann. Von drei getesteten Lösungen bekannter Anbieter zum Schutz vor Erpressersoftware waren drei nicht in der Lage, die System zu schützen.

Getestet wurden Eset Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a) und Windows 10 Controller Folder Access unter Windows 10 64-Bit Version 1809 (Build 17763). Die Lösungen liefen auf einer virtuellen Windows-10-Maschine und sollten verschiedene Arten von Inhalten und Dateitypen schützen.

Zudem entwickelten die Forscher eine eigene Ransomware-Variante mit eigenen Zertifikaten und Verschlüsselungsschlüsseln. Es gelang ihnen, ein Zertifikat zum Zertifikatsspeicher von Windows hinzuzufügen und den zugehörigen Schlüssel zum aktuellen EFS-Schlüssel zu machen. Durch die Löschung der lokal gespeicherten Originalschlüssel war es der Ransomware anschließend möglich, Dateien per EFS zu verschlüsseln, die anschließend unlesbar für Nutzer und Betriebssystem sind.

Die Forscher weisen auch darauf hin, dass die Verschlüsselungsaktivitäten einer EFS-basierten Ransomware im Kernel stattfinden. Da dabei auch der NTFS-Treiber eine Rolle spiele, erfolge die Verschlüsselung auch unbemerkt von Dateisystem-Filtertreibern. Es würden auch weder eine Interaktion mit dem Nutzer, noch Administratorrechte benötigt.

Allerdings können Nutzer die Verschlüsselung erkennen, da alle Dateien mit bei EFS üblich mit einem Schlosssymbol versehen werden. Auch ist es, falls die Dateiwiederherstellung aktiv ist, recht einfach, die verschlüsselten Inhalte zurückzuholen.

Ihre Erkenntnisse stellten die Forscher 17 Anbietern von Sicherheitslösungen zur Verfügung. Avast kündigte beispielsweise an, ab Version 19.8 seine Produkte mit einem Workaround auszustatten. Die Arbeit der Forscher belohnte das Unternehmen zudem mit 1000 Dollar.

Avira stufte den Angriff indes nicht als realistisch ein. Bitdefender rollt indes seit 10. Januar Updates für seine kommerziellen Produkte aus. Ein Patch für Bitdefender Free Edition sei in Arbeit.

Updates stellen außerdem die Anbieter Check Point, Eset, IObi, Kaspersky, McAfee und Sophos bereit. F-Secure betonte, dass seine Produkte diese Angriffsmethode bereits erkennen könnten. Microsoft selbst verwies auf die Windows-Sicherheitsfunktion „Überwachter Ordnerschutz“ als Lösung für EFS-basierte Ransomware. Trend Micro kündigte ein Update an und rät seinen Kunden, bis dahin die EFS-Funktion zu deaktivieren.