BSI: Windows-Treibermanagement ist "herausfordernd", Härtung empfehlenswert
Über den Device Setup Manager in Windows 10 können bösartige Treiber installiert werden, warnt das BSI in der Studie Sisyphus. Ein Nachverfolgen sei schwierig.
(Bild: charnsitr/Shutterstock.com)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach längerer Pause am Dienstag weitere Ergebnisse einer Studie zu "Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10" (Sisyphus) veröffentlicht. In der neuen Etappe geht es mit dem Dienst Device Setup Manager (DsmSvc) um einen zentralen Teil in der Treiberverwaltung des Betriebssystems. Der ermöglicht demnach die automatische Installation einiger Treiber aus dem zugehörigen Speicher, "ohne dass Administratorrechte erforderlich sind". Wenn Angreifer unbefugt Zugriff auf den Treiberspeicher erlangten, "kann ein bösartiger Treiber installiert werden, der die Sicherheit des gesamten Systems gefährdet".
Anstöpseln und nutzen
Das Gesamtprojekt führt die Heidelberger IT-Sicherheitsfirma Enno Rey Netzwerke (ERNW) im BSI-Auftrag durch. Die IT-Forscher erklären in der mit Anhang gut 60 Seiten langen DsmSvc-Analyse, dass die Anbindung von Peripheriegeräten und Komponenten in Windows 10 über das Input/Output-(I/O-)System erfolge. Das diene als Schnittstelle zwischen dem Gerät und dem Kernel und halte die Plug-and-Play-Infrastruktur (PnP) am Laufen. Der Device-Manager verwendet dabei Setup-Komponenten, um mit den Geräteinstallations- und Konfigurationsfunktionalitäten des Betriebssystems zu interagieren.
Der Dienst werde bei Bedarf durch den PnP-Manager gestartet. Dies geschehe, "wenn ein Gerät an das System angeschlossen wird und einen Treiber benötigt". Der Auslöser könne für jeden Dienst konfiguriert werden. In diesem Fall werde der "Trigger" vom PnP-Manager im Kernelbereich getätigt, etwa wenn man ein Gerät wie ein USB-Stick in das System steckt. Der DsmSvc nutzt Windows Update, um online nach noch nicht installierten Gerätetreibern zu suchen und herunterzuladen. Aus sicherheitstechnischer Sicht sei dabei aber positiv, dass Windows 10 das Prinzip der Funktionstrennung durch die Verteilung der Komponenten einhalte.
Die Autoren resümieren: Die PnP-Technologie funktioniere – unterstützt durch die DsmSvc-Komponente – "automatisch ohne jeglichen Benutzereingriff", was sowohl Vor- als auch Nachteile haben könne. Der Prozess stelle "einen Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit" dar. Gerade die Nachverfolgung böswilliger Aktivitäten sei dabei "eine Herausforderung". Auch wenn ein Treiber ohne Benutzerinteraktion geladen werden könne, müsse er aber zumindest über eine gültige Signatur verfügen. Um eine bessere Kontrolle zu erlangen, "kann man entweder diesen automatischen Prozess deaktivieren oder eine Härtung des Treiberspeichers in Betracht ziehen". Dafür geben die Verfasser mehrere von Microsoft gelieferte Konfigurationsbeispiele, wie das Verhindern der Installation von Treibern für gewisse Geräteklassen.
Risikobewertung mit Sisyphus
Generelles Ziel von Sisyphus ist es, Restrisiken für eine Nutzung des mittlerweile von Windows 11 ergänzten beziehungsweise ersetzten Betriebssystems zu bewerten und Rahmenbedingungen für einen sicheren Einsatz zu identifizieren. Das mittlerweile weitgehend abgeschlossene Projekt schlug etwa mit einer Analyse des umstrittenen Telemetrie-Teils bis 2019 schon mit 1,37 Millionen Euro zu Buche. 2021 folgten allgemeine Empfehlungen für Sicherheitseinstellungen. Auch Komponenten wie Device Guard, Powershell, die "Secure Boot"-Konfigurationsrichtlinien und den App-Lebenszyklus haben die Beteiligten genauer unter die Lupe genommen. Untersuchungsgegenstand ist Windows 10 in den Versionen 1607 sowie 1809 in der deutschen 64-Bit-Version.
(dmk)