Windows Treiber teilweise für Privilege Escalation anfällig

[English]Sicherheitsforscher haben bei einer Analyse legitimer Gerätetreiber herausgefunden, dass mehr als 40 dieser Treiber von mindestens 20 Hardwareanbietern anfällig für Privilege Escalation sind.


Anzeige

Gerätetreiber sitzen zwischen dem Betriebssystem und dem UEFI/BIOS sowie der Hardware. Damit läuft der Treiber mit höheren Berechtigungen als Software der Standard-Benutzer und Administratoren. Einige Treiber werden auch verwendet, um die Firmware zu aktualisieren. Treiber werden in Windows daher durch Microsoft digital signiert. Und Windows 10 lässt inzwischen nur noch signierte Treiber zu. Gelingt es einer Malware, Schwachstellen in Treibern auszunutzen, steht Tür und Tor offen, um ggf. das System und die Firmware (über diese Treiber zum Firmware-Update) zu manipulieren.

Sicherheitsforscher der Firmware- und Hardware-Sicherheitsfirma Eclypsium haben herausgefunden, dass mehr als 40 Treiber anfällig für eine für Privilege Escalation sind. Benutzerprogramme können sich über die Treiber also Kernelberechtigungen verschaffen. Bleeping Computer hat die Information in diesem Artikel publiziert. Eclypsium schreibt dazu:

All these vulnerabilities allow the driver to act as a proxy to perform highly privileged access to the hardware resources, such as read and write access to processor and chipset I/O space, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), physical memory and kernel virtual memory.

Es handelt sich hier keinesfalls um ein theoretisches Risiko. Genau diese Szenarien wurden bei Cyber-Spionage-Operationen in der Vergangenheit bereits eingesetzt. Die Slingshot APT-Gruppe verwendete laut Bleeping Computer ältere gefährdete Treiber, um die Berechtigungen auf infizierten Computern zu erhöhen. Das Lojax-Rootkit von APT28 (alias Sednit, Fancy Bear, Strontium Sofacy) wurde über einen signierten Treiber in der UEFI-Firmware hinterlegt. Bleeping Computer hat bisher folgende Liste an Hardwareanbietern veröffentlicht, die angreifbare Treiber für Windows bereitstellen.

American Megatrends International (AMI)
ASRock
ASUSTeK Computer
ATI Technologies (AMD)
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
Micro-Star International (MSI)
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba

Dem Artikelnach ist diese Liste unvollständig, da einige Informationen noch unter Embargo stehen und unveröffentlicht sind. Die Präsentation von der DEF CON lässt sich hier abrufen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Windows Treiber teilweise für Privilege Escalation anfällig

  1. drandoweyl sagt:

    "mehr als 40 dier Treiber" der
    "Dem Artikel von Bleeping Computer ist diese Liste…" fehlte sowas wie 'nach'?!

  2. mike sagt:

    Schöner Schlamassel, vor allem da ATI-AMD, Intel und NVIDIA auf der Liste stehen. Sollte es sich um die Grafiktreiber handeln sind so ziemlich alle Desktop und Notebook Computersysteme betroffen, Matrox ist bis jetzt nicht auf der Liste.
    Die Frage ist dann was ist mit den Grafiktreibern für ältere Grafikkarten und CPUs mit integrierter GPU? Werden diese Treiber auch aktualisiert?
    Bin gespannt wie sich diese Geschichte weiterentwickelt.

    • 1ST1 sagt:

      Das ist eine ganz andere Dimension als Spectre/Meltdown. Da es wahrscheinlich keinen PC auf dieser Welt der letzten 10-15 Jahre gibt, auf dem kein Treiber von Intel, AMD, ATI und nVidia installiert ist, ist letztlich jeder PC theoretisch angreifbar. Da kann Windows in sich so sicher sein wie es will. Und das garantiert schneller und effektiver als über alle CPU-Schwachstellen zusammen. Wäre interessant zu wissen, ob es bei der Treiberqualität einen Unterschied macht, ob man die von Windows mitgelieferten Treiber der genannten Hersteller verwendet, die ja letztendlich auch von den Chipherstellern stammen, oder die von den Herstellern heruntergeladenen.

  3. Micha sagt:

    Es kommt darauf an welche Treiber Versionen getestet wurden.

    Gerade AMD und Nvidia könnten sich mit der Frequenz in der neue Grafikkartentreiber herauskommen gerne mal zurücknehmen. Bei AMD sind es Teilweise bis zu 3 Stück im Monat.

    Für legacy Hardware wird es bestimmt zutreffen. Je nachdem wie schnell der legacy zustand eintritt kann das auf Dauer ein Kostenfaktor werden sofern man die Anfälligkeit des Systems reduzieren möchte durch regelmäßigen neu kauf von Geräten.

    Wenn Hersteller von Peripherie keine Updates mehr bereitstellen werde ich mir definitiv nicht ständig ein neues Gerät kaufen. Wahrscheinlich würde ich anfangen in der Registry und dem Ordner C:\Windows rumfrickeln bis es wieder geht.

    Die Forderung wie es in dem verlinkten PDF auf Seite 63 steht würde nur wieder zu massenhaft Elektroschrott führen.

    "Need to block/revoke old vulnerable drivers"

  4. Micha45 sagt:

    Ich werden den Verdacht nicht los, dass hier wieder nur öffentlich eine neue "Sau durchs Dorf getrieben" werden soll, wie es schon bei der Sache um "Spectre/Meltdown" gemacht wurde. Es ist bis heute nicht bekannt, ob diese angeblichen Sicherheitslecks überhaupt, und wenn ja, in welcher Häufigkeit aktiv ausgenutzt wurden. Die Masse der PC-Nutzer scheint ja nicht betroffen zu sein, denn sonst wären dahingehende Meldungen massenhaft im Netz zu finden.

    Auch jetzt wieder nur vage und wenig aussagekräftige Information, die nur eines bewirken sollen: Diskussionen, die Vermutungen, Spekulationen und Verschwörungstheorien enthalten.

    Das sitzen ein paar Wichtigtuer 24/7 vor ihren Rechnern und befeuern die Systeme, unter extrem exotischen Bedingungen, solange mit Schadware, bis einer der Übeltäter das bewirkt, was die sich von vorne herein als Ziel gesetzt haben: Das System über irgendeine vermeintliche Schwachstelle zu kompromittieren.

    Dann wird die Meldung öffentlich gemacht und so getan, als sei die Masse der Computernutzer in akuter Gefahr und der Weltuntergang bevorstünde.
    Das Thema steht dann wieder auf vielen Portalen im Netz als der "Skandalaufhänger" ganz oben, wird verbreitet wie die Pest und die Diskussionen nehmen ihren Lauf.

    Ich sehe auch diese Sache extrem entspannt und gelassen und das Spekulieren und Mutmaßen überlasse ich anderen.

Schreibe einen Kommentar zu mike Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.