Vorgestern gab Microsoft bekannt, dass man mit dem neuen Treiberprogramm von Windows 11 gezielt gegen Hypervisor-Cracks vorgehen will.
Microsoft bestätigte vorgestern offiziell ein umfangreiches Kernel-Sicherheitsupdate für ihr aktuelles Betriebssystem Windows 11. Die Entwickler kündigten an, dass sie das Vertrauen in ältere Treiber widerrufen, die über ein veraltetes Cross-Zertifizierungsprogramm signiert wurden. Das System akzeptiert nun standardmäßig nur noch Software, die strenge Standardtests bestanden hat – das Windows Hardware Compatibility Program. Natürlich nahm Microsoft den Begriff Hypervisor-Cracks nicht in den Mund, doch um genau diese geht es dabei unter anderem.
Repacker setzen vermehrt auf Hypervisor-Cracks
Für die Hypervisor-Cracks, die mittlerweile sogar FitGirl und ElAmigos verteilt, werden eigene Kernel-Treiber geladen, Windows-Sicherheitsmechanismen deaktiviert und CPU-/Systemchecks gefälscht. Es handelt sich dabei nicht um einen Crack im eigentlichen Sinn. Die Methode ist stets relativ abhängig vom Windows-Sicherheitsmodell.
Microsoft hat gleich mehrere Hebel zur Hand, um die aktuellen Game-Releases wieder unbrauchbar zu machen. Sie können eine strengere Treibersignaturprüfung einführen, alternativ eine bessere Blockade nicht autorisierter Hypervisoren realisieren, eine härtere VBS-Zwangsaktivierung oder das Blockieren von bekannten Exploit-Ketten nutzen. So definitiv tot, wie manche Medien die Hypervisor-Cracks bezeichnen, ist die Technik aber nicht. Für jede Blockade, auch für das Kernel-Sicherheitsupdate, kann man nach neuen Wegen der Umgehung suchen.
Microsoft besitzt mehrere Möglichkeiten
Dazu kommt, diese Methode ist grundsätzlich instabil und für den Nutzer riskant. Man muss vor dem Start die zentralen Kernel- und Virtualisierungs-Sicherheitsfeatures von Windows herunterfahren, die das Betriebssystem schützen würden. Das Verfahren läuft mit Kernel-/Hypervisor-Rechten und ermöglicht somit eine vollständige Systemkompromittierung. Die Hypervisor-Releases sind kein Ersatz für einen echten Crack, sondern waren eigentlich mehr ein Beweis, dass es geht. Doch dieser Proof of Concept wurde in den letzten Wochen immer praktikabler. Auch die Anzahl der Hypervisor-Cracks wurde immer größer, weswegen auch einige Repacker auf diesen Trend reagiert haben.
Ohne Kernel-Exploit, keine Umgehung des Kopierschutzes möglich
Dass man dabei das Signieren der Treiber deaktivieren muss, relativiert die Wirkung deutlich. Microsoft kann Kernel-Exploits schließen oder durch effektivere Blockaden versuchen, die Nutzung des eigenen Hypervisors zu priorisieren beziehungsweise alternative Implementierungen zu erschweren. Die Methode ist dabei stets abhängig von einem funktionierenden Kernel-Einstiegspunkt. Ohne Kernel-Zugriff sind keine Hypervisor-Cracks möglich. Genau diesen Teil sollen die Windows 11-Updates gezielt erschweren. Nicht das Umgehen von Denuvo ist das eigentliche Problem. Man muss zuvor in eine Position gelangen, um den Denuvo-Schutz überhaupt austricksen zu können.
Hypervisor-Cracks: Das letzte Wort ist noch lange nicht gesprochen
Fazit: Das Ganze wird wohl noch eine Weile ein Hase-und-Igel-Spiel bleiben. Wenn Microsoft Sicherheitslücken im Kernel schließt, muss die Szene neue finden, die dann kurze Zeit später wieder geschlossen werden. Deutlich sicherer für IT-Sicherheit der PCs sind die echten Denuvo-Cracks, die momentan nur Voices38 veröffentlicht.
