Windows EFS: Sicherheitsanbieter verbessern Schutz vor Ransomware-Angriffen

Forscher entwickeln einen Angriff, der das verschlüsselte Windows-Dateisystem ausnutzt. Er lässt sich allerdings auch mit Windows-Bordmitteln aufhalten. Trotzdem stellen Anbieter wie Eset, Kaspersky und Symantec Updates für ihre Produkte bereit.

Forscher haben einen Angriff mit Ransomware auf Windows-Systeme mit verschlüsseltem Dateisystem (Encrypting File System, EFS) entwickelt, den signaturbasierte Antivirenprogramme offenbar nicht verhindern können. Die Anbieter von Sicherheitslösungen stellen nun Updates bereit, um diese Lücke zu schließen.

Sicherheit (Bild: Shutterstock)In einem gestern veröffentlichten Untersuchungsbericht beschreibt Amit Klein, Vice President of Security Research bei Safebreach Labs, wie das Windows Encrypting File System von Ransomware missbraucht werden kann. Von drei getesteten Lösungen bekannter Anbieter zum Schutz vor Erpressersoftware waren drei nicht in der Lage, die System zu schützen.

Getestet wurden Eset Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a) und Windows 10 Controller Folder Access unter Windows 10 64-Bit Version 1809 (Build 17763). Die Lösungen liefen auf einer virtuellen Windows-10-Maschine und sollten verschiedene Arten von Inhalten und Dateitypen schützen.

Zudem entwickelten die Forscher eine eigene Ransomware-Variante mit eigenen Zertifikaten und Verschlüsselungsschlüsseln. Es gelang ihnen, ein Zertifikat zum Zertifikatsspeicher von Windows hinzuzufügen und den zugehörigen Schlüssel zum aktuellen EFS-Schlüssel zu machen. Durch die Löschung der lokal gespeicherten Originalschlüssel war es der Ransomware anschließend möglich, Dateien per EFS zu verschlüsseln, die anschließend unlesbar für Nutzer und Betriebssystem sind.

Die Forscher weisen auch darauf hin, dass die Verschlüsselungsaktivitäten einer EFS-basierten Ransomware im Kernel stattfinden. Da dabei auch der NTFS-Treiber eine Rolle spiele, erfolge die Verschlüsselung auch unbemerkt von Dateisystem-Filtertreibern. Es würden auch weder eine Interaktion mit dem Nutzer, noch Administratorrechte benötigt.

Allerdings können Nutzer die Verschlüsselung erkennen, da alle Dateien mit bei EFS üblich mit einem Schlosssymbol versehen werden. Auch ist es, falls die Dateiwiederherstellung aktiv ist, recht einfach, die verschlüsselten Inhalte zurückzuholen.

Ihre Erkenntnisse stellten die Forscher 17 Anbietern von Sicherheitslösungen zur Verfügung. Avast kündigte beispielsweise an, ab Version 19.8 seine Produkte mit einem Workaround auszustatten. Die Arbeit der Forscher belohnte das Unternehmen zudem mit 1000 Dollar.

Avira stufte den Angriff indes nicht als realistisch ein. Bitdefender rollt indes seit 10. Januar Updates für seine kommerziellen Produkte aus. Ein Patch für Bitdefender Free Edition sei in Arbeit.

Updates stellen außerdem die Anbieter Check Point, Eset, IObi, Kaspersky, McAfee und Sophos bereit. F-Secure betonte, dass seine Produkte diese Angriffsmethode bereits erkennen könnten. Microsoft selbst verwies auf die Windows-Sicherheitsfunktion „Überwachter Ordnerschutz“ als Lösung für EFS-basierte Ransomware. Trend Micro kündigte ein Update an und rät seinen Kunden, bis dahin die EFS-Funktion zu deaktivieren.

WEBINAR

BlackBerry Intelligent Security - Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Themenseiten: Microsoft, Ransomware, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Windows EFS: Sicherheitsanbieter verbessern Schutz vor Ransomware-Angriffen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *