Aktualisierung: HoYoVerse PR schickte PC Gamer diese Erklärung:„Das HoYoverse-Team nimmt die Informationssicherheit sehr ernst. Wir arbeiten derzeit an diesem Fall und werden so schnell wie möglich eine Lösung finden, um die Sicherheit der Spieler zu gewährleisten und einen möglichen Missbrauch des Anti-Cheats zu stoppen Funktion. Wir halten Sie auf dem Laufenden, sobald wir weitere Fortschritte haben."
Ursprüngliche Geschichte: Sicherheitsskeptiker und -befürworter befürchten seit einiger Zeit, dass Exploits, die Anti-Cheat-Treiber im Kernelmodus ausnutzen, ernsthafte Schäden an der PC-Sicherheit anrichten könnten. Jetzt scheint es passiert zu sein:Der von Genshin Impact, dem beliebten Free-to-Play-Rollenspiel, verwendete Anti-Cheat-Treiber wurde von einem Ransomware-Akteur missbraucht, um Antivirus-Prozesse zu stoppen und den Masseneinsatz seiner Ransomware zu ermöglichen.
Ein neues Whitepaper, das am 24. August für Trend Micro veröffentlicht wurde, erklärt, wie der vollkommen legitime Treiber mhyprot2.sys ohne andere Teile von Genshin Impact verwendet wurde, um Root-Zugriff auf ein System zu erhalten.
„Sicherheitsteams und Verteidiger sollten beachten, dass mhyprot2.sys in jede Malware integriert werden kann“, schreiben die Autoren Ryan Soliven und Hitomi Kimura.
„Genshin Impact muss nicht auf dem Gerät eines Opfers installiert werden, damit dies funktioniert; die Verwendung dieses Treibers ist unabhängig vom Spiel.“
Kernel-Modus-Treiber sind das Herzstück Ihres Computersystems. Auf die Gefahr einer groben Vereinfachung hin, Software auf Kernel-Ebene hat im Allgemeinen mehr Kontrolle über Ihren PC als Sie. Das Anti-Cheat-Programm von Genshin Impact wurde zuvor geprüft, weil es – auf Kernel-Ebene – auch nach dem Schließen des Spiels weiterläuft. Entwickler HoYoVerse, damals bekannt als MiHoYo, änderte das später.
Das Papier macht deutlich, dass dies eine schwere Sicherheitsverletzung der gesamten Windows-Betriebssystemumgebung ist. Es stellt fest, dass das Treibermodul „nach der Verteilung nicht gelöscht werden kann“ und nicht von Natur aus bösartig ist – einfach ein missbrauchbares Stück ansonsten legitimer Software.
„Dieses Modul ist sehr einfach zu beschaffen und wird jedem zur Verfügung stehen, bis es ausgelöscht wird“, heißt es in dem Papier. "Es könnte noch lange Zeit ein nützliches Dienstprogramm zum Umgehen von Privilegien bleiben. Der Widerruf von Zertifikaten und die Erkennung von Antiviren könnten helfen, den Missbrauch zu verhindern, aber es gibt derzeit keine Lösungen, da es sich um ein legitimes Modul handelt."
Dies ist kaum das erste Mal, dass Anti-Cheat auf Kernel-Ebene ein Sicherheitsproblem für die Spieleindustrie darstellt. Ein Doppelschlag im Mai 2020, als sowohl Valorant als auch Doom Eternal von Riot Games mit Anti-Cheat im Kernel-Modus veröffentlicht wurden. Damals stellte Riot fest, dass es bereits viele andere Anti-Cheat-Software auf Kernel-Ebene gab – wenn auch nicht in dem Umfang von Riots Vanguard-Software, die beim Hochfahren von Windows beginnt.
Aber die Anti-Cheat-Technologie auf Kernel-Ebene ist im Allgemeinen effektiv, und für einige Spieler, die es satt haben, mit Betrügern umzugehen, lohnt sich das Risiko. Ende letzten Jahres zum Beispiel waren Call of Duty-Spieler so unzufrieden mit Betrügern, dass einige es begrüßten, dass Activision Blizzard Zugriff auf jedes Bit des Speichers auf ihrem gesamten PC hat.
Unabhängig von der Geschichte und der mittlerweile weit verbreiteten Verwendung ist diese Art von Missbrauch genau das, wovor diejenigen gewarnt haben, die die Verbreitung von Anti-Cheat im Kernel-Modus befürchteten. Wenn eine Schwachstelle gefunden wurde, könnte das Folgende erheblich schlimmer sein als Schwachstellen in normaler Anti-Cheat-Software auf Benutzerebene. Ich habe mich an MiHoYo gewandt, um den Bericht zu kommentieren, und werde aktualisieren, wenn ich eine Antwort erhalte.