Auf den Punkt: Sicherheitslücken in Windows-Treibern können auch ohne die ursprüngliche Hardware exploitiert werden, was BYOVD-Angriffe zur Deaktivierung von Sicherheitssystemen erleichtert. Die neue Analyse zeigt, wie Hardware-Gating überwunden werden kann und stellt damit ein erhebliches Sicherheitsrisiko dar.
Eine neue technische Analyse zeigt, wie Sicherheitslücken in Windows-Kernel-Treibern auch ohne die ursprünglich vorgesehene Hardware exploitierbar gemacht werden können. Dies hat erhebliche Implikationen für sogenannte BYOVD-Angriffe, bei denen Angreifer nach erfolgreichem Eindringen vulnerable Treiber zur Deaktivierung von Sicherheitssystemen missbrauchen.
Forscher haben eine detaillierte technische Analyse veröffentlicht, die demonstriert, wie viele Windows-Kernel-Treiber auch im Benutzermodus ausgenutzt werden können, ohne dass die Hardware vorhanden ist, für die sie ursprünglich entwickelt wurden. Diese Erkenntnisse sind besonders relevant für die Sicherheitsforschung an Treibern und die Bewertung von Exploitierbarkeit.
Die Studie konzentriert sich auf zwei Hauptkriterien, die eine Treiber-Sicherheitslücke für BYOVD-Angriffe (Bring Your Own Vulnerable Driver) attraktiv machen: erstens muss die Ausnutzung eine aussagekräftige Beeinträchtigung von ansonsten tamper-resistenten Sicherheitskomponenten ermöglichen, etwa durch willkürliche Speicherzugriffe oder Code-Ausführung; zweitens sollte die Exploitierbarkeit unabhängig von seltenen Systemkonfigurationen wie spezifischer Hardware möglich sein.
Die häufigsten Hindernisse beim Angriff auf einen Treiber über sein Geräteobjekt sind erstens, dass das Geräteobjekt gar nicht erstellt wird, und zweitens, dass der interne Zustand des Treibers die Ausnutzung der Schwachstelle trotz Zugriff auf das Geräteobjekt nicht erlaubt. Solche Szenarien treten besonders häufig auf Systemen ohne die entsprechende physische Hardware auf.
Obwohl BYOVD-Angriffe seit Jahren dokumentiert sind, hat bisher keine Analyse speziell die Rolle von Hardware-Abhängigkeiten bei der Erreichbarkeit von Treiber-Schwachstellen untersucht. Die vorliegende Forschung schließt diese Lücke und bietet praktische Methoden zur Überwindung hardware-bedingter Einschränkungen.