2022 sorgte ein Vorfall für Aufsehen, der danach sehr viele Anwender und IT-Verantwortliche betraf: Ein Sicherheitsforscher zeigte, dass ein zwei Jahre alter, signierter ASRock-Treiber genutzt werden konnte, um auf jedem aktuellen Windows-System die volle Kontrolle zu erlangen — selbst wenn der Treiber gar nicht installiert war. Es genügte, ihn nachzuladen und zu starten. Diese Klasse von Angriffen heißt Bring Your Own Vulnerable Driver (BYOVD) und ist seitdem eine der größten Bedrohungen im Windows-Ökosystem.
Was ist ein „Vulnerable Driver"?
Ein vulnerable Driver ist ein signierter Windows-Treiber mit einer bekannten Sicherheitslücke, die einem Angreifer erlaubt, eine seiner Privilegien-Stufen zu eskalieren oder Schutz-Mechanismen wie Antivirus, EDR oder UEFI-Boot zu umgehen.
Drei Eigenschaften machen einen Treiber kritisch:
- Signatur — Microsoft akzeptiert ihn. Windows lädt ihn ohne Beanstandung.
- Kernel-Privilegien — Treiber laufen im Kernel-Modus mit voller Hardware- und Speicher-Kontrolle.
- Bekannte Lücke — durch eine Lücke (oft arbitrary memory read/write) gewinnt jeder lokale Benutzer Kernel-Zugriff.
Bring Your Own Vulnerable Driver (BYOVD)
Der eigentliche Trick: Auch wenn der vulnerable Treiber nicht auf einem Zielsystem installiert ist, kann ein Angreifer ihn mitbringen. Die Schritte:
- Angreifer erlangt zunächst limitierten Benutzer-Zugriff (etwa über Phishing, Browser-Exploit, schwache Passwörter).
- Lädt den vulnerablen Treiber von einem öffentlichen Repository (oder hat ihn fest in der Malware verbaut).
- Installiert den Treiber als Windows-Dienst — Microsofts Treiber-Signatur wird akzeptiert, weil der Treiber tatsächlich von einem Hardware-Hersteller signiert wurde.
- Nutzt die Treiber-Lücke, um Kernel-Code auszuführen.
- Erlangt vollständige Kontrolle: Antivirus deaktivieren, EDR umgehen, Bootkit-Installation, Ransomware ausrollen.
Prominente Vulnerable-Driver-Vorfälle
| CVE | Treiber / Hersteller | Bekannt geworden durch |
|---|---|---|
CVE-2020-15368 | ASRock RGB Treiber | BlackByte Ransomware (2022) |
CVE-2018-19320 | GIGABYTE GDrv (Mainboard-Tools) | RobbinHood Ransomware |
CVE-2019-16098 | MSI Afterburner / RTCore64.sys | Bring Your Own Vulnerable Driver Toolkits |
CVE-2023-20593 | AMD Ryzen Master Driver | SafeBreach Researchers |
CVE-2022-26500/26501 | Veeam-Backup-Treiber | Conti Ransomware |
CVE-2021-21551 | Dell DBUtil_2_3 | Sehr breite Verbreitung — auf Millionen Dell-PCs vorinstalliert |
Der Dell-Fall (CVE-2021-21551) illustriert das Problem besonders deutlich: DBUtil_2_3.sys war auf Millionen Dell-PCs installiert und ermöglichte einen lokalen Privilege-Escalation-Angriff. Selbst wenn Dell das Problem gepatcht hat — die alten Treiber-Dateien waren auf den Systemen weiterhin vorhanden und konnten missbraucht werden.
AVG Driver Updater nutzt eine Datenbank mit über 100 Millionen Treibern und erkennt nicht nur veraltete, sondern gezielt auch sicherheitskritische Treiber-Versionen.
Microsoft Vulnerable Driver Blocklist
Seit Anfang 2023 pflegt Microsoft eine zentrale Blocklist mit bekannten vulnerablen Treibern. Diese Liste wird mit dem Defender und über Windows Update verteilt. Aktive Treiber, die auf der Liste stehen, werden beim Laden vom Betriebssystem blockiert.
Die Liste ist unter learn.microsoft.com/windows/security/application-control/microsoft-recommended-driver-block-rules öffentlich einsehbar — sie enthält über 700 Einträge mit konkreten Treiber-Hashes.
Hypervisor-protected Code Integrity (HVCI / Memory Integrity)
Auf Windows 11 ist HVCI standardmäßig aktiviert — eine Hardware-virtualisierungsbasierte Schutzfunktion, die das Laden unsignierter oder ältere fehlerhafter Treiber verhindert. Voraussetzung: VBS-fähige Hardware (alle CPUs ab 2018 erfüllen das).
HVCI prüfen:
- Windows-Sicherheit öffnen
- Gerätesicherheit → Kern-Isolation → Details
- Speicher-Integrität sollte An sein
Falls deaktiviert, kann es daran liegen, dass ein installierter Treiber nicht HVCI-kompatibel ist. Windows zeigt dann eine Warnung mit dem Treiber-Namen an. Solche Treiber sind potenzielle BYOVD-Risiken — Hersteller-Update prüfen oder Treiber deinstallieren.
Selbst prüfen: Habe ich vulnerable Driver installiert?
Methode 1: DriverView
NirSofts DriverView listet alle aktuell geladenen Kernel-Treiber. In der Liste stehen die Datei-Pfade — verdächtige Treiber wie RTCore64.sys, DBUtil_2_3.sys, alte ASRock RGB-Treiber prüfen Sie gegen die Microsoft-Blocklist.
Methode 2: loldrivers.io
Die Community-Datenbank loldrivers.io sammelt bekannte vulnerable Treiber und ist die zentrale Referenz für Sicherheits-Forscher. Funktion Search mit Treiber-Namen oder Hash prüft, ob ein Treiber auf einer Block-Liste steht.
Methode 3: Treiber-Software
Tools wie der AVG Driver Updater haben CVE-Datenbanken integriert und melden vulnerable Treiber proaktiv — auch wenn Microsoft sie noch nicht in der Blocklist hat.
Was tun, wenn Sie einen vulnerablen Treiber finden?
- Hersteller-Update prüfen — meist gibt es eine gepatchte Version. Bei Mainboard-Tools (MSI, ASRock, GIGABYTE) auf der Hersteller-Webseite die aktuelle Version laden.
- Wenn kein Update verfügbar ist: Den Treiber deinstallieren. Mainboard-RGB-Tools sind selten essenziell. Bei Notebook-Tools prüfen, ob der Hersteller eine Alternative anbietet.
- Treiber-Datei manuell entfernen — auch nach der Deinstallation kann die
.sys-Datei inC:\Windows\System32\drivers\verbleiben. Falls ja: löschen oder umbenennen. - HVCI / Memory Integrity einschalten — falls noch nicht geschehen.
Ausblick: BYOVD bleibt eine Bedrohung
Auch mit Microsofts Blocklist ist BYOVD nicht gelöst. Neue vulnerable Treiber werden regelmäßig entdeckt — sowohl in aktuellen, weit verteilten Software-Paketen als auch in alten Treibern, deren Hersteller längst nicht mehr existieren. Die Microsoft-Blocklist hinkt der Forschung typischerweise um 6–12 Monate hinterher.
Für Endanwender bleibt der einzige nachhaltige Schutz: Treiber-Inventar überschauen, regelmäßige Updates und konsequentes Entfernen nicht-essenzieller Treiber-Software.
Zusammenfassung
Vulnerable Drivers sind keine theoretische Bedrohung — sie werden seit 2020 aktiv von Ransomware-Gruppen ausgenutzt. Microsofts Blocklist und HVCI bieten Basisschutz, aber Eigeninitiative ist nötig: Treiber-Inventar prüfen, alte Hersteller-Tools deinstallieren, regelmäßige Updates durchführen. Eine spezialisierte Treiber-Software macht diesen Prozess deutlich einfacher als manuelles Tracking.
Weiterführende Quellen
Authoritative Quellen für tiefergehende Informationen:
- Common Vulnerabilities and Exposures (CVE) — Wikipedia (DE)
- NIST National Vulnerability Database (offiziell)
- Microsoft Vulnerable Driver Blocklist (offiziell)
- LOLDrivers — Living Off The Land Drivers Database
Häufige Fragen
Microsofts Blocklist ist gut, aber langsam: Neue vulnerable Treiber werden oft erst nach 6–12 Monaten in die Liste aufgenommen. In dieser Zeit sind die Treiber für Angreifer voll nutzbar. Außerdem deckt die Blocklist nur Treiber ab, die Microsoft selbst als kritisch einstuft.
Wahrscheinlich weniger — die meisten BYOVD-Vorfälle der letzten Jahre involvierten genau solche Tools (MSI Afterburner, ASRock RGB, GIGABYTE Apps). Aber: Auch professionelle Software wie Veeam Backup oder Dell-Update-Tools waren betroffen. Vollständig sicher ist niemand, der irgendeine Drittanbieter-Software mit Kernel-Treiber installiert hat.
Memory Integrity (HVCI) schützt im Kernel: blockiert nicht-signierte oder als vulnerable bekannte Treiber. Smart App Control schützt im User-Space: blockiert nicht vertrauenswürdige Anwendungen vor dem Start. Beide ergänzen sich; HVCI ist auf Windows 11 standardmäßig aktiv, Smart App Control nur auf neu installierten oder zurückgesetzten Systemen.
Häufige Ursache: Ein installierter Treiber ist nicht HVCI-kompatibel — Windows nennt den verantwortlichen Treiber unter Inkompatibler Treiber. Den Hersteller-Update prüfen, oder falls nicht möglich, den Treiber deinstallieren. Danach lässt sich Memory Integrity aktivieren.
Nein — Alter allein ist kein Kriterium. Es gibt 20 Jahre alte Standard-Treiber für simple Hardware, die völlig sicher sind. Problematisch sind Treiber mit komplexer Funktionalität (Speicher-Mapping, Sensor-Zugriff, RGB-Steuerung), in denen Sicherheits-Lücken überhaupt entstehen können. Ein 2-jähriger Mainboard-RGB-Treiber ist gefährlicher als ein 15-jähriger Drucker-Treiber.
Indirekt: Veraltete Versionen von bekannter Software haben oft ältere Treiber, in denen mittlerweile Lücken bekannt sind. Eine spezialisierte Treiber-Software vergleicht installierte Versionen mit aktuellen CVE-Datenbanken — schneller als Microsofts Liste. Direkt prüfen lässt sich nur über Hash-Abgleich gegen loldrivers.io, was für Endanwender unpraktikabel ist.