Windows EFS: Sicherheitsanbieter verbessern Schutz vor Ransomware-Angriffen

Forscher haben einen Angriff mit Ransomware auf Windows-Systeme mit verschlüsseltem Dateisystem (Encrypting File System, EFS) entwickelt, den signaturbasierte Antivirenprogramme offenbar nicht verhindern können. Die Anbieter von Sicherheitslösungen stellen nun Updates bereit, um diese Lücke zu schließen.

In einem gestern veröffentlichten Untersuchungsbericht beschreibt Amit Klein, Vice President of Security Research bei Safebreach Labs, wie das Windows Encrypting File System von Ransomware missbraucht werden kann. Von drei getesteten Lösungen bekannter Anbieter zum Schutz vor Erpressersoftware waren drei nicht in der Lage, die System zu schützen.

Getestet wurden Eset Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a) und Windows 10 Controller Folder Access unter Windows 10 64-Bit Version 1809 (Build 17763). Die Lösungen liefen auf einer virtuellen Windows-10-Maschine und sollten verschiedene Arten von Inhalten und Dateitypen schützen.

Zudem entwickelten die Forscher eine eigene Ransomware-Variante mit eigenen Zertifikaten und Verschlüsselungsschlüsseln. Es gelang ihnen, ein Zertifikat zum Zertifikatsspeicher von Windows hinzuzufügen und den zugehörigen Schlüssel zum aktuellen EFS-Schlüssel zu machen. Durch die Löschung der lokal gespeicherten Originalschlüssel war es der Ransomware anschließend möglich, Dateien per EFS zu verschlüsseln, die anschließend unlesbar für Nutzer und Betriebssystem sind.

Die Forscher weisen auch darauf hin, dass die Verschlüsselungsaktivitäten einer EFS-basierten Ransomware im Kernel stattfinden. Da dabei auch der NTFS-Treiber eine Rolle spiele, erfolge die Verschlüsselung auch unbemerkt von Dateisystem-Filtertreibern. Es würden auch weder eine Interaktion mit dem Nutzer, noch Administratorrechte benötigt.

Allerdings können Nutzer die Verschlüsselung erkennen, da alle Dateien mit bei EFS üblich mit einem Schlosssymbol versehen werden. Auch ist es, falls die Dateiwiederherstellung aktiv ist, recht einfach, die verschlüsselten Inhalte zurückzuholen.

Ihre Erkenntnisse stellten die Forscher 17 Anbietern von Sicherheitslösungen zur Verfügung. Avast kündigte beispielsweise an, ab Version 19.8 seine Produkte mit einem Workaround auszustatten. Die Arbeit der Forscher belohnte das Unternehmen zudem mit 1000 Dollar.

Avira stufte den Angriff indes nicht als realistisch ein. Bitdefender rollt indes seit 10. Januar Updates für seine kommerziellen Produkte aus. Ein Patch für Bitdefender Free Edition sei in Arbeit.

Updates stellen außerdem die Anbieter Check Point, Eset, IObi, Kaspersky, McAfee und Sophos bereit. F-Secure betonte, dass seine Produkte diese Angriffsmethode bereits erkennen könnten. Microsoft selbst verwies auf die Windows-Sicherheitsfunktion „Überwachter Ordnerschutz“ als Lösung für EFS-basierte Ransomware. Trend Micro kündigte ein Update an und rät seinen Kunden, bis dahin die EFS-Funktion zu deaktivieren.

WEBINAR

BlackBerry CylancePERSONA – Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sinequa-Marktbefragung in UK, Frankreich und Deutschland: In punkto DSGVO-Reife hält sich jeder für den Spitzenreiter

Zwei Jahre nach Inkrafttreten der EU-weiten DSGVO-Datenschutzbestimmungen hat der Anbieter kognitiver Such- und Analysesoftware eine Umfrage in drei europäischen Ländern…

21 Stunden ago

Ausprobiert: Rock Space WLAN Repeater AC1200

Der Rock Space WLAN Repeater AC1200 funkt mit 5 und 2,4 GHz. Die maximale Übertragungsrate beträgt 867 MBit/s. Bei 2,4…

2 Tagen ago

BSI veröffentlicht Sicherheitsanforderungen für Smartphones

Mit dem Forderungskatalog will das BSI einen öffentlichen Diskurs über Sicherheit von Smartphones starten. Die Anforderungen sollen zukünftig in Richtlinien…

2 Tagen ago

Update für Chrome schließt Zero-Day-Lücke

Mit Version 80.0.3987.122 schließt Google in Chrome drei Sicherheitslücken. Mit CVE-2020-6418 findet sich darunter auch eine Zero-Day-Lücke die aktiv ausgenutzt…

2 Tagen ago

Firefox: Mozilla aktiviert DNS-über-HTTPS für US-Nutzer

Durch die Verschlüsselung von DNS-Abfragen schützen sich Anwender vor dem Ausspionieren des Surfverhaltens. Anders als beim Google-Browser Chrome können Firefox-Nutzer…

2 Tagen ago

Opera R2020 mit verbessertem Tab-Management

Opera 67.0 alias R2020 soll mit seinem verbessertem Tab-Management für Ordnung beim Surfen sorgen. Tabs lassen sich in insgesamt fünf…

2 Tagen ago