Categories: Sicherheit

Forscher finden Sicherheitsmängel in 40 Kerneltreibern von 20 Anbietern

Auf der Sicherheitskonferenz DEF CON 27 in Las Vegas haben Sicherheitsforscher von Eclypsium eine Liste von Treibern veröffentlicht (PDF), die niedrigprivilegierten Anwendungen ermöglichen, legitime Treiberfunktionen zu verwenden, um bösartige Aktionen in den sensibelsten Bereichen des Windows-Betriebssystems, wie dem Windows-Kernel, auszuführen. Insgesamt können laut Eclypsium mehr als 40 Kerneltreiben von 20 verschiedenen Anbietern zur Ausführung von Kernel-Code missbracht werden.

„Es gibt eine Reihe von Hardware-Ressourcen, die normalerweise nur mit privilegierter Software wie dem Windows-Kernel zugänglich sind und vor bösartigem Lesen/Schreiben durch Userspace-Anwendungen geschützt werden müssen“, sagte Mickey Shkatov, Principal Researcher bei Eclypsium. „Der Designfehler tritt auf, wenn signierte Treiber Funktionen bereitstellen, die von Userspace-Anwendungen missbraucht werden können, um beliebiges Lesen/Schreiben dieser sensiblen Ressourcen ohne Einschränkungen oder Prüfungen von Microsoft durchzuführen“, fügte er hinzu.

Shkatov führt die von ihm entdeckten Probleme auf schlechte Codierungspraktiken zurück, die die Sicherheit nicht berücksichtigen. „Dies ist ein gängiges Anti-Pattern für das Software-Design, bei dem der Treiber nicht nur bestimmte Aufgaben erfüllt, sondern auch flexibel geschrieben ist, um beliebige Aktionen im Namen des Benutzerbereichs durchzuführen“, sagte er gegenüber ZDNet.com. „Es ist einfacher, Software zu entwickeln, indem man Treiber und Anwendungen so strukturiert, aber es öffnet das System für die Nutzung.“

Shkatov sagte, dass sein Unternehmen jeden der betroffenen Hardware-Anbieter benachrichtigt hat, deren Treiber es Userspace-Anwendungen ermöglichen, Kernel-Code auszuführen. Einige davon, wie Intel und Huawei, haben bereits Updates bereitgestellt.:

  • American Megatrends International (AMI)
  • Asrock
  • Asus
  • ATI (AMD)
  • Biostar
  • EVGA
  • Getac
  • Gigabyte
  • Huawei
  • Insyde
  • Intel
  • MSI
  • Nvidia
  • Phoenix Technologies
  • Realtek Semiconductor
  • Supermicro
  • Toshiba

Nach Angaben Shkatovhabe gibt es allerdings noch weitere Anbieter mit fehlerhaften Treibern, die er zum jetzigen Zeitpunkt nicht veröffentlichen will, da einige „aufgrund besonderer Umstände zusätzliche Zeit benötigen“ und Updates in naher Zukunft erscheinen würden. Eine Liste von anfälligen Treibern will Eclypsium auf Github veröffentlichen.

„Um anfällige Treiber ausnutzen zu können, müsste ein Angreifer den Computer bereits komprommitiert haben“, sagte Microsoft in einer Erklärung. „Um diese Art von Problemen zu beheben, empfiehlt Microsoft Kunden, Windows Defender Application Control zu verwenden, um bekannte anfällige Software und Treiber zu blockieren. Kunden können sich noch besser schützen, indem sie die Speicherintegrität für leistungsfähige Geräte in Windows Security einschalten“.

Allerdings weist Eclypsium darauf hin, dass der Angriffsvektor auf Basis fehlerhafter Treiber bereits ausgenutzt werde. „Es gibt mehrere Beispiele für Angriffe in freier Wildbahn, die diese Klasse von gefährdeten Treibern nutzen. Beispielsweise installiert die Slingshot APT-Kampagne ein Kernel-Rootkit, indem sie Treiber mit Lese-/Schreib-MSR-Funktionen ausnutzt, um die Treibersignatur zu umgehen. Und die jüngste LoJax-Malware missbrauchte ähnliche Treiberfunktionen, um bösartige Implantate innerhalb der Firmware eines betroffenen Geräts zu installieren, und blieb auch bei einer vollständigen Neuinstallation des Betriebssystems bestehen.

Prinzipiell sind sämtliche Windows-Versionen laut Eclypsium von der Problematik betroffen. „Es gibt derzeit keinen universellen Mechanismus, um einen Windows-Rechner davon abzuhalten, einen dieser bekannten schlechten Treiber zu laden. Die Implementierung von Gruppenrichtlinien und anderen Funktionen, die speziell für Windows Pro, Windows Enterprise und Windows Server gelten, kann für eine Teilmenge von Benutzern einen gewissen Schutz bieten. Einmal installiert, können diese Treiber über einen längeren Zeitraum auf einem Gerät verbleiben, sofern sie nicht speziell aktualisiert oder deinstalliert wurden. Zusätzlich zu den Treibern, die bereits auf dem System installiert sind, kann Malware jeden dieser Treiber mitbringen, um eine Privilegienerweiterung durchzuführen und direkten Zugriff auf die Hardware zu erhalten.“, teilt Eclypsium im Firmen-Blog mit.

Microsoft will laut Eclypsium die HVCI-Funktion (Hypervisor-enforced Code Integrity) nutzen, um entsprechende Treiber eauf eine schwarze Liste zu setzen. Allerdings steht HVCI nur bei Intel-CPUs der 7. Generation und höher zur Verfügung. Darüber hinaus sollten Unternehmen ihre PCs auf aktuelle Firmware und Treiber hin untersuchen und gegebenenfalls ein Updatedurchführen, um derartige Angriffe abzuwehren.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago