Das Free-to-Play-Online-Fantasy-Rollenspiel Genshin Impact aus dem Hause Mihoyo wurde vor etwa zwei Jahren veröffentlicht und erfreut sich seither größter Beliebtheit. Spieler können das Game auf zahlreichen unterschiedlichen Plattformen spielen, wie etwa Windows, der PlayStation und mobil. Windows-Spieler sollten jedoch zweimal überlegen, ob das Game es wert ist, gespielt zu werden. Denn wie Sicherheitsforscher aktuell berichten, geht mit dem Spielspaß ein hohes und wenig abstraktes Risiko einher.
Genshin Impact-Treiber deaktiviert Virenschutz
Cheater, die sich einen unfairen Vorteil verschaffen, sind in Online-Spielen unerwünscht. Aus diesem Grund werden die meisten größeren Online-Spiele auf Manipulationsversuche geprüft. Bei Genshin Impact übernimmt der Anti-Cheat-Systemtreiber mhyprot2.sys diese Aufgabe. Die Datei ist vollkommen legitim und wird von Antiviren daher nicht als Gefahr eingestuft. Zu Unrecht, denn wie Sicherheitsforscher von Trend Micro herausfanden, lässt sich die Anti-Cheat-Software dank einer verbauten Sicherheitslücke zweckentfremden. Das Tool verfügt über eine Autorisierung auf Kernel-Ebene und kann dazu missbraucht werden, um den Virenschutz auszuhebeln. Und dabei handelt es sich nicht um eine theoretische Sicherheitslücke. Laut den Forschern von Trend Micro wird der Treiber gegenwärtig von Angreifern ausgenutzt, um Ransomware auf den Rechnern von Genshin Impact-Spielern zu installieren. Ist dies vollbracht, können Hacker etwa Dateien verschlüsseln oder sich Zugang zu ebenjenen verschaffen.
Der Anti-Cheat-Systemtreiber machte bereits Ende 2020 auf sich aufmerksam, da dieser bei einer Deinstallation des Spiels nicht entfernt wurde und eine Autorisierung auf Kernel-Ebene ermöglichte. Zudem blieb der Treiber auch dann aktiv, wenn das Spiel ausgeschaltet wurde. Damals besserte Entwickler Mihoyo nach und unterband den Dauereinsatz. Die oben beschriebene Sicherheitslücke wurde dagegen bisher ignoriert, obwohl der chinesische Spieleentwickler bereits früher über die Gefahr in Kenntnis gesetzt worden sein soll. Erst nach der Veröffentlichung des Trend Micro-Berichts setzte sich Mihoyo in Bewegung. Das Unternehmen verkündete, man arbeite gegenwärtig an diesem Fall und würde so schnell wie möglich eine Lösung finden, die die Sicherheit der Spieler gewährleistet und einen möglichen Missbrauch der Anti-Cheat-Funktion verhindert.
- Auch interessant: Genshin Impact-Cheater zur Haftstrafe verurteilt
Wenn sich Genshin Impact-Spieler aktuell schützen wollen, bleibt ihnen jedoch keine andere Möglichkeit, als das Game zu deinstallieren. Dabei muss darauf geachtet werden, dass der Treiber mhyprot2.sys ebenfalls aus dem System verschwindet. Denn nach Angaben der Sicherheitsforscher kann die Datei autark arbeiten. Genshin Impact ohne besagten Treiber zu spielen, ist dagegen nicht möglich.
Ich habe in meinem Spiele Ordner zwei dieser Datein gefunden mhyprot2.sys und mhyprot3.sys… just for fun, habe ich mal versucht die mhyprot2.sys zu löschen jedoch die 3 bei zu behalten. Das spiel war weiterhin spielbar, aber ob ich damit irgendwas sicherer gemacht habe bezweifel ich. Dementsprechend doch lieber Deinstalliert. Hoffe das es bald wieder sicher Spielbar wird.
Der AC läuft ja nur wenn Genshin läuft und angenommen das er exploitable ist wie so die meiste Kernel Level AC Software. Ist die Schlussfolgerung ja weiterhin lade keinen Müll aus dem Internet herunter.
Die Malware installiert den Treiber selbst. Deinstallieren bringt hier also gar nichts. Clickbait Artikel.
So ein Quatsch
Wie sieht es mit Mobile aus? Sind nur PCs betroffen, oder ist es auch problematisch für die anderen Plattformen?
Hallo Aelinore, laut dem aktuellen Kenntnisstand gilt dies nur für PCs.
Die Sicherheitslücke hat nichts mit genshin an sich zu tun sondern ist ein kombiproblem from Microsoft und mihoyo.
Sie müssen genshin nicht einmal installiert haben.. ein Virus kann die Datei als Basis nehmen und erhält access ob genshin jemals installiert wurde oder nicht.
Deinstallieren bringt so ziemlich gar nichts (quelle: gamestar news)
Labert doch nicht so bullshit probaganda
Von welchen Media seit ihr bezahlt für diese Frechheit
Ich hab nach gelesen und überall mach der Studie gesucht komisch sie nirgends zu finden
Gleich doppelt Clickbait.
Erstens: Was hält Schadsoftware davon ab, den Treiber selbst mitzubringen? Genau. Entsprechend ist es bei einer Infektion völlig unerheblich, ob die Software installiert ist, oder nicht.
Zweitens: Warum bin ich verantwortlich (=schuld) für Sicherheitslücken der Softwarehersteller? Generell müsste man mal im größeren Rahmen diskutieren, inwiefern Kernel-level-Treiber für „Anticheat“ generell legitim sind.
Mir ist das egal es ist ein schönes spiel und ich werde es weiter hin spielen auch wenn irgendwelche Idioten eine scheiße schreiben nur um einen wild zu machen
Clickpait-Artikel. Man muss Genshin nicht einmal installiert haben, weil der Treiber unabhängig agieren kann und durch die Malware installiert werden kann, steht auch im Artikel von Trend Micro. Jedoch sollte man jetzt wieder genshin installieren, denn es gibt einen Patch für genshin, der beinhaltet nämlich, dass sich dieser Treiber ausschaltet, wenn man das Spiel nicht offen hat, also ist man nur mehr während des Spielens gefährdet.
Absoluter Clickbait Blödsinn. Hier versucht mal wieder ein Möchtegern Spiele „“Journalist““ ein schnellen Euro zu machen, anstatt richtig zu forschen, und zu informieren. Ladet einfach kein suspekten Kram aus dem Netz, wie alle Sachen mit Kernel Zugriff kann auch dies exploitet werden, klar. Aber auch ohne Genshin Impact installiert zu haben kann eine Ransom-, oder Malware diese Datei nutzen um Schaden anzurichten. Aber es ist ja auch soviel einfacher Panik zu machen, oder fals hen Hate zu schieben, anstatt richtig zu informieren.
Ergo, an Artem Sandler, machs doch mal richtig, ja?
An die, die darauf reinfielen, die sind selbst Schuld, um den Clickbait hier mal aufzugreifen. Kleiner Seitenhieb 😉
Für euch möchtegern spezialisten hier einfach mal zur Info warum es eine „Gefahr“ ist aber doch eigentlich keine größere als so gut wie jede andere gängige / viel genutzte Software / Treiber
Eine kleine Liste von zur Zeit viel genutzten Treibern für diverse Malware:
Vulnerable Driver
https://github.com/hacksysteam/HackSysExtremeVulnerableDriver [Guide]
https://github.com/xct/windows-kernel-exploits [Guide]
https://github.com/namazso/physmem_drivers [Vulnerable Driver List]
https://github.com/alfarom256/drivers_and_shit [Vulnerable Driver List]
https://github.com/NullArray/WinKernel-Resources/tree/main/Drivers [Vulnerable Driver List]
https://github.com/Xxmmy/vulnerable-driver-scanner [Scans for vulnerable drivers]
https://github.com/Sentient111/VulnerableDriverScanner [Scans for vulnerable drivers]
https://github.com/fengjixuchui/gdrv-loader/tree/1909_mitigation [gdrv.sys]
http://rexw3wrz5pldtadf3hy4vqnuzokhco4l32kyntj36fcgpjuy3nvxidid.onion/_xeroxz/VDM [gdrv enhance]
https://github.com/Compiled-Code/eac-mapper [gdrv.sys]
https://github.com/eddeeh/kdmapper [iqvw64e.sys]
https://github.com/TheCruZ/kdmapper [iqvw64e.sys]
https://github.com/Brattlof/kdmapper-1909 [iqvw64e.sys]
https://github.com/rmccrystal/kdmapper-rs [A kdmapper library for Rust]
https://github.com/kkent030315/MsIoExploit [MsIo64.sys]
https://github.com/kkent030315/evil-mhyprot-cli [Mhyprot2.sys]
https://github.com/leeza007/evil-mhyprot-cli [Mhyprot2.sys]
https://github.com/keowu/mhyprot2 [Mhyprot2.sys]
https://github.com/kagurazakasanae/Mhyprot2DrvControl [Mhyprot2.sys]
https://github.com/tanduRE/AvastHV [Avast]
https://github.com/iPower/KasperskyHook [Kaspersky]
https://github.com/mathisvickie/CVE-2021-21551 [dbutil_2_3.sys]
https://github.com/Splitx12/imxyviMapper [AsUpIO.sys]
https://github.com/archercreat/vdk [Speedfan.sys]
https://github.com/SamLarenN/SpeedFan-Exploit [Speedfan.sys]
https://github.com/Gbps/CapcomLib [Capcom.sys]
https://github.com/es3n1n/dolboeb-executor [Capcom.sys]
https://github.com/Exploitables/CVE-2015-2291 [IQVW64.sys]
https://github.com/KiFilterFiberContext/AsIO-Exploit [AsIO3.sys]
https://github.com/IamM47Z/OpenHardwareMonitor-PoC [OpenHardwareMonitorLib.sys]
https://github.com/RedCursorSecurityConsulting/PPLKiller [RTCore64.sys]