Sicherheitsalarm bei Microsoft: Böswillige Nutzung von zertifizierten Treibern
Microsoft berichtet davon, dass Angreifer zertifizierte Treiber für das Windows-Betriebssystem nutzten, um Post-Exploitation-Aktivitäten in böswilliger Weise auszuführen. Der Missbrauch soll sich auf mehrere Konten des eigenen Entwicklerprogramms beschränken. Durch neu ausgerollte Sicherheitsupdates wurden die Zertifikate widerrufen und Partnerkonten gesperrt.
Bei Microsoft klingeln die Alarmglocken, wie der Weltkonzern aus Redmond nun in einer Stellungnahme/Sicherheitsempfehlung bekannt gegeben hat. Schon Anfang Februar informierte Sophos, eine Firma für Sicherheitssoftware, den Windows-Entwickler über verdächtige Aktivitäten bezüglich missbräuchlich genutzter Treiber. Microsoft stellte daraufhin Untersuchungen an und kam zu dem Ergebnis, dass Partner aus Microsofts Entwicklerprogramm Treiber, die vom Windows Hardware-Entwicklerprogramm zuvor zertifiziert worden sind, in böswilliger Weise für Post-Exploitation-Aktivitäten verwendet haben.
Microsoft lässt Konten sperren und bringt Sicherheitsupdates
Laut Microsoft haben die Angreifer Administrationsrechte auf den kompromittierten Systemen erlangt, und dies bereits vor der Nutzung der Treiber durch die infrage stehenden Konten. Eine Kompromittierung konnte Microsoft allerdings nicht feststellen. Weitere Berichte mit Einzelheiten zur Causa kamen von Trend Micro und Cisco. Microsoft ergriff nach eigenen Angaben Maßnahmen und sperrte die aus seinem Partnerprogramm stammenden Entwicklerkonten, die Treiber mit Malware einreichten, um eine Signatur zu bekommen. Dafür hat Microsoft Sicherheitsupdates veröffentlicht, die zudem die Zertifikate widerrufen und Sperrerkennungen beim Microsoft Defender implementieren.
Ebenfalls lesenswert: Windows 11 Update: Falsche Sicherheitswarnung sorgte für Unruhe
Welche Maßnahmen sind jetzt für Kunden geboten? Hier empfiehlt das Unternehmen die neuesten Windows-Updates zu installieren und sich davon zu bezeugen, dass Antiviren- und Endpunkt-Erkennungssoftware mit den aktuellsten Signaturen versehen sind. Eine Liste mit den neuesten Sicherheitsupdates hat Microsoft seiner Meldung zu den Vorfällen hinzugefügt. Auch wird zu Offline-Scans geraten, um Treiber ausfindig zu machen, die vor dem 2. März 2023 aufgespielt worden sind - dem Datum, als Microsoft neue Erkennungsfunktionen implementierte.
Quelle: Microsoft

Und seitens MS automatisierte (Treiber) Updates zu empfehlen, naja - Meiner Meinung nach fängt man sich genau damit Probleme ein wenn die Update Routine fehlerhafte Updates ausliefert.
Schlimmer noch, wenn kompromittierte Windowsupdates und Treiberupdates darüber automatisiert ausgespielt werden.
Microsoft traue ich zu, dass deren Updateserver eines Tages geknackt werden (Ich sage nur Azure Cloud Masterkey Leak und tausende kritischer Sicherheitslücken in MS Produkten über die Jahre hinweg) und dann sind alle mit automatischen Updates gefickt