Es gibt in diesen Tagen viele berichtenswerte Fails von Microsoft. Zugegeben habe ich Probleme da noch hinter her zu kommen: Von offenen Zero-Day Lücken in Exchange-Servern1, fehlenden Patches2, kaputten Bugfixes3 mit leicht auszuhebelnden IIS RegEx-Zeilen und Bugfixes von Bugfixes4. Die gewohnte Inkompetenz möchte man meinen. So wie zuletzt beim RDP-Protokoll5 und davor bei PrintNightmare.6
Ich möchte den Blick auf etwas richten, das im medialen Echo rund um die Exchange Zero-Day-Lücke unter dem Radar geblieben ist. Das gängige Security-Theater von Closed-Source Softwareanbietern mit intransparenten Diensten, immer wieder der Kundschaft vorgeträllert und üblicherweise kaum mess- oder verifizierbar. Es sei denn die Marketing-Märchen werden binnen kurzer Zeit als Lügen entlarvt.
Das Versprechen
Microsoft hat im Jahr 2020 versprochen, fehlerhafte oder boshafte Windows-Treiber per Windows Update nicht nur nicht mehr zu verteilen, sondern auch für alle Windows Rechner zu blocken.7
Microsoft threat research teams continuously monitor the threat ecosystem and update the list of drivers that in the Microsoft-supplied blocklist. This blocklist is pushed down to devices via Windows update.
Begleitet von viel Werbe- und Marketing-Tam-Tam wird Windows 11 zusammen mit neuer Hardware als “Secured PC” beworben, das Anwender vor derartigen Angriffen schützen würde.8
Protects down to the firmware level with hardware security features that shields user credentials and other critical data.
Die Realität
Diese “sophisticated” Funktionen haben jedoch nicht verhindert, dass 2021 Razors’ Maus- und Tastaturtreiber9 und 2022 DELL-Treiber10 von Windows Update verteilt und von Malware zur Rechteausweitung mißbraucht werden konnten.
Hackergruppen wie Lazarus schleusen längst Ihre eigenen, ordnungsgemäß WHQL-zertifizierten und signierten Treiber ein. Frei nach dem “Bring your own vulnerable driver”-Prinzip (kurz BYOVD) entziehen sie sich auf Kernel-Ebene sämtlichen höheren Schutzmachanismen.11
Beim Lügen erwischt!
Wie Ars Technica unlängst herausgefunden hat, trägt Microsoft falsch vor.12 Die besagte Windows Update Blockliste umfasst im Oktober 2022 ganze zwei Treiber und wurde zuletzt im Jahr 2019 aktualisiert. Soviel zum “continuously monitoring” aus den Werbeaussagen.
Doch es ist noch schlimmer: Millionen von Windows 10 und Windows 11 Rechner sowie 2016, 2019 und 2022 Server sind ungeschützt geblieben, da zusätzlich ein Bug die Verteilung dieser Liste verhindert hat.13
Auf den Nenner gebracht: Microsoft hat seit 2019 nicht nur nichts gemacht, sondern alles auch noch stümperhaft umgesetzt.
Konseqzenzen
Ich kann mich des Eindruckes nicht erwehren, dass Microsofts’ Sicherheits-Theater in erster Linie als verkaufsfördernde “Motivation” für neue Hard- und Software gedacht ist.
Im Kontext mit den anderen Fails der letzten Jahre wird deutlich: Microsoft ist die Kontrolle über den eigenen Technologie-Flickenteppich längst entglitten. Gegen aktiv ausgenutzte Zero-Day-Lücken kann kein zeitnaher Patch geliefert werden. Selbst entwickelte “Secured-PC” Konzepte scheitern an einer nicht ordnungsgemäßen Umsetzung und die monatlichen Windows Patch-Days werden zum Glücksspiel. Wohl dem, der seine Systeme vom Netz getrennt hält.
Für mich persönlich bleibt festzuhalten:
- Closed-Source Software und intransparente Dienste haben nichts im Security-Kontext verloren
- WHQL-Treiberzertifikate und HVCI-Schutzmechanismen sind “broken” by Design
- Security-Aussagen von Microsoft erweisen sich als nicht verifizierbare Märchen
Kann das irgendeinen MS-Fanboy oder IT-Verantwortlichen beeindrucken? Ich bezweifle es. Einsicht kommt meiner bescheidenen Meinung nach meist nur mit Schmerzen einher. Wenn zum Beispiel Malware ein Unternehmen für Wochen oder Monate lahmlegt.
In diesem Sinne,
einen angenehmen Rest-Sonntag.
Tomas Jakobs
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html ↩︎
https://www.heise.de/news/Warten-auf-Sicherheitsupdates-Zero-Day-Attacken-auf-Microsoft-Exchange-Server-7280460.html ↩︎
https://www.heise.de/news/Exchange-Server-Zero-Day-Microsoft-veroeffentlicht-Skript-fuer-Workaround-7282055.html ↩︎
https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html ↩︎
https://blog.jakobs.systems/blog/20210630-window-drucker-dll/ ↩︎
https://www.microsoft.com/security/blog/2020/03/17/secured-core-pcs-a-brief-showcase-of-chip-to-cloud-security-against-kernel-attacks/ ↩︎
https://www.microsoft.com/en-us/windows/business/windows-11-secured-core-computers ↩︎
https://threatpost.com/windows-10-admin-rights-razer-devices-mouse-peripherals/168855/ ↩︎
https://thehackernews.com/2022/10/hackers-exploiting-dell-driver.html ↩︎
https://www.researchgate.net/publication/364060045_Lazarus_BYOVD_evil_to_the_Windows_core ↩︎
https://arstechnica.com/information-technology/2022/10/how-a-microsoft-blunder-opened-millions-of-pcs-to-potent-malware-attacks/ ↩︎
https://tweeter.jakobs.systems/wdormann/status/1574432934660288512 ↩︎