Microsoft hat momentan eine große Sicherheitslücke, die es Hackern ermöglicht, über anfällige Treiber in das System zu kommen. Die Lücke lässt sich auf eine veraltete Treiberliste zurückführen.

Treiber sorgen dafür, dass die Hardware des PCs reibungslos mit Windows zusammenarbeiten kann. Geräte wie die Grafikkarte, Kamera oder Maus und Tastatur benötigen in der Regel Treiber.

Diese Treiber greifen dabei auf den inneren Kern von Windows, den sogenannten Kernel zu. Dementsprechend sollte es nur möglich sein, Treiber auf dem PC zu installieren, die von einem vertrauten Anbieter stammen. Um das zu gewährleisten, brauchen die Treiber eine Signatur, welche sie als sicherer Treiber kennzeichnet.

So weit so gut. Allerdings kommt es immer mal wieder vor, dass ein Treiber sich hinterher durch eine Sicherheitslücke im Code als angreifbar herausstellt. Um diese Angriffsfläche für Hacker zu minimieren, kommen diese Treiber auf eine Blockliste. Treiber auf dieser Liste sollten nicht auf dem System installiert werden können.

Allerdings hat Microsoft es verpennt, die Blockliste regelmäßig zu updaten, so wie das Unternehmen es versprochen hatte, wie Ars Technica berichtet. Die Seite hat zusammen mit dem Hacker und Forscher Will Dormann herausgefunden, dass Treiber auf dieser Liste scheinbar problemlos installiert werden können. Das lässt Windows offen für sogenannte BYOVD-Attacken.

BYOVD steht für „bring your own vulnerable driver” oder zu Deutsch „Bringt deinen eigenen anfälligen Treiber mit”. Das deutet an, dass Hardwarehersteller anfällige Treiber im System platzieren, welche die Hacker nur noch ausnutzen müssen. Das spart den Hackern viel Zeit und Arbeit.

Dormann zeigt anhand eines Beispiels auf Twitter, dass solche anfälligen Treiber installiert werden können. Wenn der Menüpunkt „Speicher-Integrität” in den Windows Einstellungen unter „Kernisolierung” aktiviert ist, sollte es nicht möglich sein, Treiber von der Blockliste auf dem System zu installieren. Trotzdem war es ihm möglich, einen Treiber namens “WinRing0”, der laut Dokumentation auf der Blockliste sein sollte, problemlos zu installieren.

Obwohl der Treiber laut Dokumentation auf Microsofts Webseite geblockt sein sollte, konnte Dormann ihn nicht in der eigentlichen Treiberliste auf seinem System finden. Im Twitter-Tread hat er die gesamte Investigation dokumentiert.

Er fand weiterhin heraus, dass die Treiberliste für Windows-10-PCs seit 2019 nicht mehr aktualisiert wurde. Alle Treiber, die sich seitdem als anfällig herausgestellt haben, können also von Hackern als potenzielle Angriffsfläche genutzt werden.

Später im Thread meldet sich ein Microsoft-Mitarbeiter zu Wort. Dieser gesteht den Fehler ein und sagt, dass Microsoft einen entsprechenden Artikel aktualisiert hat, der euch sagt, wie ihr die Treiberliste manuell aktualisieren könnt. Scheinbar hat ein Fehler im Prozess verhindert, dass Windows-PCs die aktualisierte Liste per Windows-Update erhalten haben, wie es eigentlich sein sollte.

Wenn ihr die Liste manuell aktualisieren möchtet, findet ihr die aktualisierte Anleitung auf Deutsch dazu hier. In einem Statement gegenüber Ars teilt Microsoft außerdem mit, dass sie die Treiberliste aktualisiert haben und sie mit kommenden Updates gepflegt werden soll:

„Die Liste der anfälligen Treiber wird regelmäßig aktualisiert, wir haben jedoch Rückmeldungen erhalten, dass es eine Lücke bei der Synchronisierung zwischen den Betriebssystemversionen gegeben hat. Wir haben dies korrigiert und es wird in kommenden und zukünftigen Windows-Updates gewartet. Die Dokumentationsseite wird aktualisiert, sobald neue Updates veröffentlicht werden.“

Bereits im Juni gab es eine Zero-Day-Lücke, die in Microsofts Support-Tool MSDT gefunden wurde. Auch hier hat das Unternehmen eine Anleitung für Nutzer veröffentlicht, wie sie diese schließen.