Hypervisor-Bypass: Denuvo will nachrüsten

Nicht nur Microsoft geht gegen diese Technologie vor. Auch Irdeto, der Hersteller von Denuvo, will Hypervisor-Bypass Releases verhindern.

Inhalt

• Day-0-Releases statt ewiger Wartezeit
• Hypervisor-Umgehung setzt unterhalb des Betriebssystems an
• Sicherheitsrisiken: Hoher Preis für schnellen Zugriff?
• Repacker FitGirl, ElAmigos und Riddick verbreiten Hypervisor-Releases
• Strenge Regeln in der Szene
• Irdeto entwickelt Gegenmaßnahmen gegen den Hypervisor-Bypass
• Fazit: Neues Kapitel im Katz-und-Maus-Spiel

Es tut sich was. Nicht nur Microsoft arbeitet an einer Aushebelung der illegalen Veröffentlichungen, die auf einem Hypervisor-Bypass basieren. Fakt ist: Die Gaming-Piraterie befindet sich momentan im Umbruch. Erstmals ist es wieder möglich, dass Denuvo-geschützte Spiele bereits am Erscheinungstag illegal veröffentlicht werden. Während Teile der Szene und die Community die Entwicklung feiern, warnt Denuvo-Mutterkonzern Irdeto vor erheblichen Sicherheitsrisiken. Zudem kündigte man bereits die Entwicklung eigener Gegenmaßnahmen an.

Day-0-Releases statt ewiger Wartezeit

Über Jahre hinweg galt Denuvo auf Windows als effektivste Schutzmaßnahme gegen Raubkopien im Gaming-Sektor. Zwar war das DRM bei vielen legitimen Käufern unbeliebt. Doch einige Publisher nahmen die Performance-Einbußen gerne in Kauf, um insbesondere die lukrative Release-Phase des ersten halben Jahres abzusichern. Doch mit einem längerfristigen Schutz kann momentan kein Spieleentwickler oder Publisher mehr rechnen.

Auslöser der aktuellen Entwicklung war unter anderem der Leak von Resident Evil Requiem. Der Crack erschien im Internet trotz Denuvo in Kombination mit Steam, Capcom Anti Tamper, VMProtect und SteamStub nur wenige Stunden nach dem Verkaufsstart. SteamStub ist ein von Valve eingesetzter Mechanismus. Es handelt sich dabei um eine zusätzliche Schutzschicht, die ausführbare Dateien (EXE) von Spielen vor dem Zugriff Dritter bewahren soll. Capcom Anti Tamper ist kein eigenständiges DRM im klassischen Sinne, sondern eher eine zusätzliche Schutzschicht gegen Modding, Debugging und Cracking.

Kurz darauf folgte eine ganze Welle weiterer Titel, darunter Crimson Desert und Life is Strange: Reunion. Selbst ältere, bislang geschützte Spiele wie Assassin’s Creed Shadows hat man mittlerweile mit dem Hypervisor-Bypass kompromittiert. Das rüttelt derzeit heftig am Geschäftsmodell des Denuvo-Herstellers Irdeto. Publisher werden künftig nur noch dann Geld an Irdeto bezahlen, sofern ihre Spiele mit dem DRM effektiv geschützt sind.

Hypervisor-Umgehung setzt unterhalb des Betriebssystems an

Wie wir schon mehrfach erklärt haben, liegt der entscheidende Unterschied zu klassischen Cracks im Ansatz. Statt zu versuchen, den Quellcode von Denuvo zu erkennen und zu deaktivieren, setzen die neuen Methoden viel tiefer an. Die bisherige Verfahrensweise, die vor allem Voices38 und Empress angewendet hat, ist sehr aufwändig. Die sogenannten Hypervisor-Bypasses operieren auf Ring -1, also unterhalb des Betriebssystemkerns. Dort greifen sie CPU-Instruktionen ab und manipulieren die Rückgabewerte so, dass Denuvo weiterhin glaubt einen intakten Schutzmechanismus zu erkennen.

Zwar bleibt Denuvo und seine „Nebenwirkungen“ dabei erhalten. Doch vielen Programmierern der Szene wird das egal sein, weil sie mit der Hypervisor-Technologie lauffähige Cracks produzieren können. Jetzt ist es wieder so wie vor einigen Jahren, als die Cracks nahezu zeitgleich zum Verkaufsstart erschienen sind.

Sicherheitsrisiken: Hoher Preis für schnellen Zugriff?

So beeindruckend die Technik ist, sie bringt erhebliche Risiken mit sich. Um die Hypervisor-Bypasses nutzen zu können, müssen muss man mehrere zentrale Sicherheitsfunktionen von Windows deaktivieren. So auch Virtualization-Based Security (VBS), die Hypervisor-Enforced Code Integrity (HVCI) und die Treibersignaturprüfung. Damit öffnen Nutzer ihr System potenziell für Rootkits, Malware oder Ransomware. Die Deaktivierung dieser Sicherheitsmechanismen von Windows ist bekanntlich ein Spiel mit dem Feuer.

Auch innerhalb der Szene warnt man. In der Steam Underground Community (CS.RIN.RU) weist Administrator „RessourectoR“ darauf hin, dass selbst bei vertrauenswürdigem Quellcode kritische Sicherheitslücken bestehen können. Mit einer Schwachstelle im Hypervisor-Code könnte man die Windows-PCs der Gamer unbemerkt übernehmen. Zudem existieren technische Einschränkungen. Während AMD-Systeme aktuell vergleichsweise stabil laufen, kämpfen Intel-Nutzer häufig mit Performance-Problemen und Instabilität.

Inhalte von Twitter erlauben?

Diese Seite enthält Inhalte, die von Twitter bereitgestellt werden. Wir bitten dich um deine Zustimmung, bevor wir die Inhalte laden, da sie Cookies und andere Technologien verwenden können. Du solltest die Datenschutzerklärung von Twitter und die Cookie-Richtlinie lesen, bevor du einwilligst.

Inhalte immer laden von Twitter.

Akzeptieren und Inhalte laden

Repacker FitGirl, ElAmigos und Riddick verbreiten Hypervisor-Releases

Auch bekannte Szene-Größen zeigen sich hin- und hergerissen. Das Team der Repackerin FitGirl lehnte Hypervisor-Cracks zunächst strikt ab und verwies auf die Sicherheitsrisiken. Inzwischen hat man die Einstellung geändert. Nachdem Entwickler wie KiriGiri und das MKDEV-Team die Technik weiter verbessert haben – etwa durch den Wegfall von Secure-Boot-Deaktivierungen – veröffentlicht FitGirl mittlerweile entsprechende Repacks. Man kennzeichnet diese jedoch deutlich. Die Repacker DODI Repacks, ElAmigos als auch Riddick erstellen mittlerweile ebenfalls eigene Hypervisor-Bypass Releases.

Strenge Regeln in der Szene

Auffällig ist die vergleichsweise strenge Selbstregulierung innerhalb der Community. Plattformen wie CS.RIN.RU setzen klare Richtlinien für Releases und verlangen detaillierte Dokumentationen sowie Sicherheitsangaben. Das schafft ein gewisses Maß an Vertrauen – auch wenn dieses jederzeit missbraucht werden könnte.

Irdeto entwickelt Gegenmaßnahmen gegen den Hypervisor-Bypass

Denuvo-Betreiber Irdeto hat die Entwicklung längst erkannt. Gegenüber den Kollegen von TorrentFreak bestätigte das Unternehmen, dass man bereits an neuen Schutzmechanismen arbeitet. Laut Kommunikationschef Daniel Butschek sollen die geplanten Updates die Hypervisor-Bypasses gezielt adressieren. Dies soll nach offiziellen Angaben geschehen ohne die Performance der gekauften Games zu verschlechtern.

Ein kompletter Strategiewechsel von Denuvo ist jedoch nicht geplant. Stattdessen könnten andere Ansätze zum Einsatz kommen. So etwa die Erkennung fremder Hypervisoren über CPUID, die Analyse von CPU-Latenzen und häufige Lizenzprüfungen. Erklärung: Der CPUID-Befehl dient u.a. dazu, virtuelle Umgebungen zu erkennen und ungewöhnliche CPU-Flags zu identifizieren. Momentan ist noch unklar, welche Strategie der Denuvo-Hersteller letztlich umsetzen wird.

Fazit: Neues Kapitel im Katz-und-Maus-Spiel

Die aktuellen Entwicklungen markieren einen Wendepunkt im Kampf zwischen den Publishern, dem DRM-Hersteller Irdeto und der Warez-Szene. Erstmals seit Jahren scheint Denuvo seine zentrale Stärke zu verlieren. Bei vielen aktuellen Spielen fiel der Zeitgewinn der Publisher weg. Statt mehrerer Monate war die illegale Version schon wenige Stunden später verfügbar. Sie müssen befürchten, die meisten Umsätze zu verlieren, weil ihnen keine sechs Monate Schonzeit mehr bleiben.

Gleichzeitig steigt für die Nutzer der Spielekopien das Risiko erheblich, da die neuen Methoden tief in sicherheitskritische Systembereiche eingreifen. Fest steht: Das Katz-und-Maus-Spiel geht in die nächste Runde. Dieses mal findet alles auf einem deutlich niedrigeren Systemlevel statt. Und wie immer geht es letztlich nur ums liebe Geld.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.