Missbrauch signierter Treiber

Microsoft wurde darüber informiert, dass Treiber, die vom Windows Hardware-Entwicklerprogramm von Microsoft zertifiziert wurden, in böswilliger Weise für Post-Exploitation-Aktivitäten verwendet wurden. Bei diesen Angriffen hatten die Angreifenden bereits vor der Verwendung der Treiber Administratorrechte auf den kompromittierten Systemen erlangt. Microsoft wurde am 19. Oktober 2022 von SentinelOne, Mandiant und Sophos über diese Aktivität informiert und hat daraufhin eine Untersuchung veranlasst. Die Untersuchung ergab, dass mehrere Entwicklerkonten für das Microsoft Partner Center bösartige Treiber einreichten, um eine Microsoft-Signatur zu erhalten. Ein erneuter Versuch, am 29. September 2022 einen bösartigen Treiber zum Signieren einzureichen, führte Anfang Oktober zur Sperrung der Verkäuferkonten.

Die laufende Analyse des Microsoft Threat Intelligence Center (MSTIC) zeigt, dass die signierten Treiber wahrscheinlich dazu verwendet wurden, um nach dem Exploit ein Eindringen zu erleichtern, z. B. die Bereitstellung von Ransomware.

Microsoft hat Windows-Sicherheitsupdates veröffentlicht, die das Zertifikat für betroffene Dateien widerrufen und die Verkäuferkonten der Partner gesperrt. Darüber hinaus hat Microsoft Sperrerkennungen (Microsoft Defender 1.377.987.0 und neuer) implementiert, um Kunden vor rechtmäßig signierten Treibern zu schützen, die böswillig nach dem Exploit verwendet wurden.

Microsoft arbeitet mit Partnern des Microsoft Active Protections Program (MAPP) zusammen, um bei der Entwicklung weiterer Erkennungen Hilfe zu leisten und unsere gemeinsame Kundschaft besser zu schützen. Das Microsoft Partner Center arbeitet ferner an langfristigen Lösungen, um diese betrügerischen Praktiken zu adressieren und zukünftige Auswirkungen auf die Kundschaft zu verhindern.

Windows-Updates installieren

Microsoft empfiehlt allen Kunden, die neuesten Windows-Updates zu installieren und sicherzustellen, dass ihre Antiviren- und Endpunkt-Erkennungsprodukte mit den neuesten Signaturen ausgestattet und in der Lage sind diese Angriffe zu verhindern.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago