Sicherheitsforscher von Trend Micro warnen, dass Hacker bereits aktiv die Schwachstelle im Treiber „mhyprot2.sys“ von Genshin Impact nutzen.
Einerseits soll Anti-Cheat-Software Spieler von Online-Spielen daran hindern, sich durch die Verwendung von Drittanbieter-Tools einen unfairen Vorteil zu verschaffen. Andererseits sind Systeme mit Zugriff auf Root-Rechte auf Kernel-Ebene gefährlich. Sicherheitsforscher von Trend Micro warnen aktuell davor, dass Hacker einen Anti-Cheat-Systemtreiber für das Spiel Genshin Impact missbrauchten, um die Antivirensoftware zu deaktivieren, während sie einen Ransomware-Angriff durchführten.
Genshin Impact verwendet Anti-Cheat-Datei mhyprot2.sys
Das Free-to-Play-MMOPRG-Spiel Genshin Impact hat der chinesische Entwickler HoYoverse ( miHoYo in China ) im Jahr 2020 veröffentlicht. Seither ist es sehr beliebt. Zahlreiche Spieler loggen sich über Mobilgeräte, Konsolen oder auf dem PC in seine Fantasy-Spielwelt, namens Teyvat, ein. Während allerdings die meisten Spiele als Anti-Cheat-Systeme entweder EasyAntiCheat oder BattlEye nutzen, so verwendet Genshin Impact speziell die Anti-Cheat-Datei mhyprot2.sys.
Trend Micro untersucht Ransomware-Angriff auf Kernel-Ebene
Der Antivirus-Anbieter Trend Micro erhielt im Juli 2020 einen Bericht von einem Kunden, der Opfer von Ransomware wurde, obwohl dessen Systeme bezüglich Endpunktschutz ordnungsgemäß konfiguriert waren. Als die Sicherheitsforscher von Trend Micro, Hitomi Kimura und Ryan Soliven, den Angriff untersuchten, stellten sie fest, dass ein Hacker einen Code-signierten Treiber, mhyprot2.sys, verwendet hatte, um Berechtigungen zu umgehen und den Virenschutz mit Kernel-Befehlen zu beenden. Fraglich bleibt allerdings, wie es den Hackern ursprünglich gelang, in das System einzudringen. Die Forscher führten aus:
„Bei der Analyse der Sequenz stellten wir fest, dass ein mit einem Code signierter Treiber namens ‚mhyprot2.sys‘, der die Anti-Cheat-Funktionen für Genshin Impact als Gerätetreiber bereitstellt, zur Umgehung von Berechtigungen missbraucht wurde. […] Das Ziel des Angreifers war es, Ransomware auf dem Gerät des Opfers zu installieren und die Infektion dann zu verbreiten.“
Angreifer zielen auf Windows-Benutzer
Gemäß den Sicherheitsforschern von Trend Micro zielen Angreifer dabei auf Windows-Benutzer des beliebten Open-Action-Spiels Genshin Impact ab. Der Anti-Cheat für Genshin funktioniert als Gerätetreiber und hat eine Autorisierung auf Kernel-Ebene auf dem Computer. Somit können potenzielle Angreifer diese Datei unter Ausnutzung der Sicherheitslücke dazu missbrauchen, verschiedene Sicherheitsvorkehrungen zu umgehen und so den Endpunktschutzprozess beenden.
Dem Hacker gelang es konkret, Ransomware einzuschleusen, alle Dateien zu verschlüsseln und sich Zugang auf vertrauliche Daten zu verschaffen. Außerdem kann die Schadsoftware, gemäß den Sicherheitsforschern, über einen PsExec-Prozess auf andere Computer übertragen werden. Die Angreifer konnten den Treiber und die Ransomware vollständig auf eine Netzwerkfreigabe laden, mit dem Ziel der Massenbereitstellung.
Der anfällige Treiber ist seit 2020 bekannt und ermöglicht den Zugriff auf jeden Prozess-/Kernel-Speicher und die Möglichkeit, Prozesse mit den höchsten Zugriffsrechten zu beenden. Zwar haben Sicherheitsforscher das Problem in der Vergangenheit mehrfach an den Anbieter gemeldet. Das Code-Signing-Zertifikat hat man jedoch nicht widerrufen, sodass man das Programm weiterhin unter Windows installieren kann, ohne Alarm zu schlagen. Um die Treiber-Funktionen ausnutzen zu können, muss das Spiel auch nicht zwingend installiert sein. Das Modul kann unabhängig arbeiten und benötigt das Spiel nicht, um zu laufen. Trend Micro warnt daher:
„Dieses Modul ist sehr leicht zu beschaffen und steht jedem zur Verfügung, bis es aus dem Verkehr gezogen wird. Es könnte für eine lange Zeit als nützliches Dienstprogramm zur Umgehung von Berechtigungen erhalten bleiben“.
Trend Micro weist darauf hin, dass es im Ergebnis des Vorfalls bestimmte Korrekturen an seiner Antivirensoftware vorgenommen hat, um den Treiber abzuschwächen. Andere Virenschutz-Suiten könnten allerdings mhyprot2.sys immer noch übersehen, es sei denn, man hätte sie speziell dafür konfiguriert.
Spiele-Entwickler stellt Patch bereit
Als Reaktion auf den Bericht von Trend Micro hat der Entwickler von Genshin Impact, miHoYo, einen Patch entwickelt, um die Bedrohung zu entschärfen. Es aktualisierte das Anti-Cheat-System demgemäß, dass es sich ausschaltete, wenn Benutzer das Spiel nicht spielt. Der Entwickler teilte mit:
„Das HoYoverse-Team nimmt die IT-Sicherheit sehr ernst. Wir arbeiten derzeit an diesem Fall und bemühen uns, so schnell wie möglich eine Lösung zu finden, um die Sicherheit der Spieler zu gewährleisten und einen möglichen Missbrauch der Anti-Cheat-Funktion zu verhindern. Wir werden Sie auf dem Laufenden halten, sobald wir weitere Fortschritte erzielen.“
Laut den Sicherheitsforschern von Trend Micro „gibt es derzeit keine Lösungen“. Das Anti-Cheat-System ist ein legitimes Programm, das von einem legitimen Unternehmen signiert wurde. Daher wird es nicht von Antivirus oder Windows als schädlich gekennzeichnet. Nachdem die Schwachstelle entdeckt wurde, könnten sich nun die Schleusen für weiteren potenziellen Missbrauch geöffnet haben.
Wie DigitalTrends informierte, riet der Sicherheitsforscher Kevin Beaumont Usern, den folgenden Hash zu blockieren, um sich vor dem Treiber zu schützen: 0466e90bf0e83b776ca8716e01d35a8a2e5f96d3 .