Realtek schließt DLL-Hijacking-Schwachstelle in HD Audiotreiber-Paket

[English]Der Hersteller Realtek hat eine DLL Hijacking-Schwachstelle in seinem HD Audiotreiber-Paket geschlossen. Hier einige Informationen zu diesem Thema.


Anzeige

Ich finde das ganze ja einen äußerst spannende Geschichte, da ich hier im Blog ja gelegentlich auf DLL-Hijacking-Schwachstellen in Software hinweise.

Schwachstelle im Realtek-Audiotreiber-Paket

Ich bin über Bleeping Computer auf das Thema gestoßen. Peleg Hadar hat die DLL-Hijacking-Schwachstelle gefunden und weist in diesem Tweet nun auf das Problem hin.

In diesem Artikel beschreibt Hadar die von SafeBreach Labs gefundene Schwachstelle CVE-2019-19705. Hadar benutzte dabei seine von ihm entwickelte Wächter-DLLs und stellte fest, dass die MFC-Anwendung RAVBg64.exe (gehört zu Realtek) DLLs nachlädt, ohne deren Pfad zu berücksichtigen. So würde eine fehlende (System-)DLL von Windows aus dem aktuellen Arbeitsverzeichnis nachgeladen.

Konkret versucht der HD-Audio-Hintergrundprozess, der als NT AUTHORITY\SYSTEM läuft, die RAVBg64ENU.dll und die RAVBg64LOC.dll aus dem Arbeitsverzeichnis

C:\Program Files\Realtek\Audio\HDA\

zu importieren, obwohl die DLLs dort nicht zu finden sind. Ein Angreifer mit entsprechenden Berechtigungen könnte damit eigene Dateien diesen Namens in diesem Ordner ablegen. Diese würde vom HD-Audio-Hintergrundprozess geladen und würden es erlauben, Malware persistent im System zu verankern.

Schwachstelle gefixt, alte Treiberpakete als Problem


Anzeige

Die Schwachstelle wurde Realtek am 10. Juli 2019 gemeldet, und am 13. Dezember 2019 mit einem Patch geschlossen. Der Fix findet sich im Realtek HD-Audio-Treiberpaket ver.8857 oder neuer. Treiberversionen vor 8855, die mit Microsoft Visual Studio 2005 (VS2005) erstellt wurden, sind immer noch anfällig für Angriffe.

Ich habe beim Schreiben des Beitrags diesen Kommentar von Blog-Leser 1ST1 gesehen, der auf ein gravierendes Problem hinweist:

Das blöde ist nur, auf http://www.realtek.com und realtek-downloads.com findet man nur HD-Audio-Treiber aus dem Jahr 2017 und 18, aber nichts aus dem Dezember 2019. Und die haben andere Versionsnummern: 2.xx, und nixda mit 88xx…

Darüber beschweren sich die Leute auch hier https://www.tenforums.com/sound-audio/135259-latest-realtek-hd-audio-driver-version-2-a-145.html und bieten noch neuere Treiber, der neueste ist 8888.1 über Downloadlinks in der Mangenta-Cloud an. Vertrauensvoll finde ich das aber nicht…

Vielleicht findet man diese neueren Versionen auch auf Webseiten von Mainboardherstellern (ASUS, MSI, Gigabyte, …), aber dafür müsste man Realtek echt mal in den Hintern treten.

Damit ist der Punkt ausreichend umschrieben. Vielleicht ist das ja für den einen oder anderen Leser hilfreich.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit Sicherheit, Treiber, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

51 Antworten zu Realtek schließt DLL-Hijacking-Schwachstelle in HD Audiotreiber-Paket


  1. Anzeige
  2. Gerold sagt:

    “Der Hersteller Realtek hat eine DLL Hijacking-Schwachstelle in seinem HD Auditreiber-Paket geschlossen.”

    Den Auditreiber sollten alle Audi-Fahrer sofort installieren …

  3. Alfred neumann sagt:

    Aktuelle Realtek Treiber zu finden ist doch schon länger ein Graus.
    Aktualisierungen werden doch nur noch an die MoBo Hersteller weiter gegeben und die haben Zeit, wenn sie denn überhaupt mal mit einer Aktualisierung um die Ecke kommen.

    ASrock ist z.Z. noch bei Version 8668 und die kamen erst im JAN 2020 raus!

  4. Anzeige

  5. Alitai sagt:

    Moment mal. MS stellt doch die Treiber zu Verfügung.

    https://www.catalog.update.microsoft.com/Search.aspx?q=6.0.8844.1

  6. Hans Thölen sagt:

    Am 03. 02. 2020 habe von der Realtek Webseite den Treiber mit der Versions Nr.
    6.0.1.8186 heruntergeladen und installiert. Kann mir bitte ein Blog Teilnehmer
    sagen, ob diese Version sicher oder unsicher ist ? Ich bedanke mich schon im Voraus

  7. wufuc_MaD sagt:

    ://www.station-drivers.com/index.php?option=com_remository&Itemid=352&func=startdown&id=4271&lang=en

    die seite ist ne spende wert! das nebenbei!

    Realtek High Definition Audio (HDA) R2.8x (8862.1) WHQL

    300MB, der “echte / komplette” audio treiber..

    bei manchen alten intel chipsätzen funzt der nicht, da… eh..
    “Microsoft UAA Driver” (uralt)
    enthalten sein muss…

    bei aktuellen boards ziehe ich den “echten” treiber immer vor. der UWP treiber (die 30mb app) ist einfach shice! bei dem 10mb ms treiber fehlt der audio manager..

    lg!

    • Dekre sagt:

      Siehe unten von mir, auch bei Computerbase.

    • 1ST1 sagt:

      Der ist vom 17.12.2019, außerdem inoffiziell (Officiel: non). Wer den Treiber wegen Sicherheitsbedenken austauschen will/muss, verlässt sich nicht auf solche Quellen.

      • Dekre sagt:

        richtig, danke, aber ich dachte… (weil das was von Januar 2020 steht?!).
        Bei Realtek findet man nur nach anstrengenden Suchen und dann …?
        Ich bin wieder zurück und jetzt geht es wieder.

        • wufuc_MaD sagt:

          auf der seite findest du intel ME / CSME updates (critical 9.8) die du auf herstellerseiten lange suchen kannst, insbesondere wenns um ältere hardware geht.

          quellen der firmwareupdates (hersteller-links) sind angegeben, ein me-update von hp funzt auch bei nem medion (lenovo) u.s.w.

          für mein board gibts seit 6 monaten auch keine hdaudio updates mehr, daher hab ich den verlinkten in meinem “zweitsystem windows” installiert.

          und wegen vertrauen… ….

          sage mir was eine (versteckte) desktop.ini (eigentlich eine windows datei) im archiv für folgendes BIOS-UPDATE:
          ps://download.msi.com/bos_exe/mb/7C02v18.zip

          mit folgendem inhalt:
          [ShellClassInfo]
          ConfirmFileOp=0
          IconResource=C:\Program Files\Google\Drive File Stream\31.0.19.0\GoogleDriveFS.exe,21
          zu suchen hat!! bitte!

          nach diesem super seriösen bios update wird aus 7C02 E7C02, und eine rückkehr zu einem “non-E” bios ist nicht mehr möglich.. verschwörungstheorie?!?.. blabla

          und schau dich mal in “offiziellen” realtek paketen um.

          ich sehe das kritisch!

  8. Dekre sagt:

    Ich habe jetzt mal versucht, was neues zu installieren – funktioniert nicht.
    Ich habe wieder den alten installiert und lasse es so.

    Die von MS angebotenen funktionieren nicht immer und sollten auch bei Umstellung Win7 – Win10 dann installiert werden. Das hat er aber bei mir nicht. Ich habe jetzt wieder einen aus 2016 installiert der vom PC-Hersteller angeboten wird und so funtioniert es auch.

  9. Anzeige

  10. Dekre sagt:

    Es gibt bei Computerbase diese Seite:

    https://www.computerbase.de/downloads/treiber/soundkarten/realtek-hd-audio-treiber/

    Ich bin aber wieder zurückgegangen, weil es nicht funktioniert. Es hängt wohl auch vom PC-System ab.

    • 1ST1 sagt:

      Die bei Computerbase sind alle von 2018 und früher, nützt also alles nichts.

    • Alfred neumann sagt:

      Nutzt eh nix, die sind ja alle kleine 8857.

    • wufuc_MaD sagt:

      “bei manchen alten intel chipsätzen (z.b. B75!!) funzt [es] nicht, da…
      “Microsoft UAA Driver” (uralt)
      enthalten sein muss…”

      evtl., da man den (beim b75) separat laden kann, kann man sich ein aktuelles treiberpaket das auch funzt, selbst bauen..

  11. AUTSCH!
    Diese Schwachstelle kann nur von einem Benutzer mit Administratorrechten ausgenutzt werden. Dieser Peleg Hadar “findet” seit etwa einem Jahr immer wieder solche Schwachstellen, die KEINE Sicherheitslücken sind.
    Andererseits ist das Nachladen von DLLs ohne Angabe des Pfadnamens natürlich ein BLUTIGER Anfängerfehler resp. eine SCHLAMPEREI, die der Hersteller beheben muss!
    JFTR: “C:\Program Files\Realtek\Audio\HDA\” ist das ANWENDUNGS-Verzeichnis, NICHT das Arbeitsverzeichnis alias C(urrent)W(working)D(irectory)!
    Letzteres kann ein Angreifer NICHT vorgeben, sondern nur der Aufrufer des Dienstes … und der hat bereits SYSTEM-Rechte.

  12. Skytravel sagt:

    Ich hoffe ich kann euch helfen da ich in meinen alten PC eine ältere Realtek Sounkarte verbaut ist kannte ich das Probelem mit finden aktueller Realthek Treiber für die Soundkarte da wie gesagt auf der der Seite https://www.realtek.com/en/component/zoo/category/pc-audio-codecs-high-definition-audio-codecs-software nur veraltet Treiber angeboten werden.

    Hab ich mich vor 1 Jahr mal auf die Suche gemacht und bin auf dieser Seite https://forum.lowyat.net/topic/658002
    gestoßen die noch aktuelle Soundtreiber von Realthek anbieten voher diese stammen weis ich nicht hatte noch nie Probleme mit den Soundtreiber von der Webseite
    Angebote werden regelmaßig Neue Realtek WHQL HD Audio Driver
    Manschmal auch Beta Treiber , Universal Audio Driver

    Aktueller Realtek WHQL HD Audio Driver ist
    Version 6.0.8882.1 von 15.01.2020

    Aktueller Realtek WHQL (Test) Universal Audio Driver ist
    Version 6.0.8885.1 von 21.01.2020

    zu finden auf https://forum.lowyat.net/topic/658002/+1480
    Neue Treiber werden immer in einen neuen separaten Post veröfentlicht.

    • Alitai sagt:

      Die nehmen es auch nur von ftp3.realtek.com.

      Habe die Frage oben schon gestellt ist der Vertrauenswürdig?

      • Skytravel sagt:

        beziehe reglemaßig die neusten Treiber von der Seite hatte noch keine Probleme.

        Die Seite bezieht die Treiber von https://github.com/alanfox2000/realtek-hda-release/releases

        Der alanfox2000 bezieht die Treiber von Realtek FTP Server.

        da die Treiber vom FTP Server von Realtek stammen und die Treiber WQHL siegniert sind, sind sie für mich Vertrauenswürdig.
        Die Frage ist nun was verstehen sie unter Vertrauenswürdig?

        • Alitai sagt:

          https://github.com/alanfox2000/realtek-hda-release

          Genau und dort steht:
          File Source: Realtek Semiconductor Corp. (ftp://ftp3.realtek.com)

          so und damit zurück zur Frage. Ist das ein vertrauenswürdiger FTP Server von Realtek?

          Weil Benutzername und PW sind öffentlich bekannt.

          Dann könnten wir dort die Dateien in Zukunft direkt runterladen.

          Danke

          Gruss
          Alitai

          • Skytravel sagt:

            ich glaube die Frage mit den Vertrauenswürdig muss du Realtek stellen aber wass sollen die sagen wie betreiben zwar einen ftp Server für unsere Treiber aber Vertrauenwürdig ist der nicht.

            Ich glaube wie drehen uns bei deiner Frage im Kreis
            Ob der Server für einen Vertrauenwürdigt ist muss jeder für sich selbst beantworten.

  13. Anonymous sagt:

    Realtek HD Audio Driver 6.0.8882.1 WHQL
    https://forum.lowyat.net/topic/658002/+1480

  14. Stefan Kanthak sagt:

    RealTek sind doch nur Waisenknaben.
    Nicht nur Microsoft verbricht VIEL hübschere “Sicherheitslücken” solchen Kalibers (und das gleich im Dutzend), beispielsweise folgende, seit 14 Jahren offene Schwachstelle: der unter SYSTEM-Konto laufende Dienst bfsvc.exe (der den Boot-Manager installiert/repariert/aktualisiert und den BCD schreibt) lädt u.a. VERSION.dll aus C:Windows statt aus C:WindowsSystem32
    Soll ich mit Mozilla weitermachen? Deren mit Firefox und Thunderbird installierter und unter SYSTEM-Konto laufender Updater hat nicht nur diese, sondern noch einige weitere Schwachstellen.
    Alternativ der Google-Updater, der mit Chrome (oder Chromium-Edge) installiert wird und unter SYSTEM-Konto läuft.
    Nicht zu vergessen der Updater für Adobe Flash oder Acrobat, …

    • Dekre sagt:

      Richtig. ich weiß auch nicht woher das immer kommt. Irgendwer hat irgendwo was entdeckt und dann ein PC über Audio zu kompromittieren, geht nicht so einfach. Das hängt auch vom PC-System ab.

      Das was Du beschreibst mit den anderen Programmen ist mir als Laie auch schon aufgefallen.

    • 1ST1 sagt:

      Schön dass der Spezialist hier mitliest… Microsoft gehört auch gehörig in den Hintern getreten… Man soll ja schön Applocker bzw. SRP/Safer benutzen, damit nichts gestartet werden kann was nicht vom admin installiert wurde, und das Tier-Modell einführen, um lokale Admin-Accounts in ihrer Reichweite zu begrenzen. Normale Benutzeraccounts ohne lokale Admin-Rechte, wenns sein muss zusätzlicher lokaler Admin-Account, und so… Dazu gehört natürlich auch, dass Admins nicht online gehen dürfen. Versuch mal unter diesen Bedingungen ein MS-Visual Studio 2019 zu benutzen… Da trudeln täglich Updates ein, die ohne Admin-Rechte nicht installiert werden können… Übrigens, in WSUS ist bei Visual Studio 2015 schluss, neuere kommen darüber nicht mehr. Oder anderes Beispiel, MS-Teams, was ja jetzt alle haben wollen und müssen (weil es Skype for Business ablösen soll), das installiert seine Files mal gerade eben unter %userhome%\appdata\…\update.exe Wunderbar! Eine EXE-Datei in einem vom Benutzer beschreibbaren Ordner. Emotet freut sich sicher schon… OneDrive macht das übrigens auch so! Ok, so wird OneDrive wenigstens wirksam vom Applocker geblockt. Aber Teams WILL man ja haben! Wenigstens kann man aber mit Applocker auch anhand Herstellerzertifikat, Anwendungsname, Version freigeben, aber wer die SRP nutzt, hat da keine Chance! Man könnte dem Nadella mal die Finger um den Hals legen und…

      • Zu SRPv1: das kann selbstverständlich auch anhand von Zertifikaten blockieren oder zulassen!
        Abgesehen davon: Teams will NIEMAND bei klarem Verstand einsetzen.
        Zu VisualStudio: das ist nur was für Weicheier!
        Compiler, Linker, NMake, RC, MC und SignTool genügen völlig, und sie funktionieren ganz ohne GUI und auch ohne dieses BESCHEUERTE und UNSICHERE .NET-Framework!

        • 1ST1 sagt:

          Doch, die wollen das… :-( *alternativlos*

          • Falsch: HIRN-los!
            Erkennungsmerkmal: installiert Teams lokal.
            Leute mit wenigen Hirnzellen nutzen diesen SCHROTT im Web-Browser, wo er nicht die enorme Angriffsfläche einer lokalen Installations bietet.
            Und Leute mit intaktem Hirn nutzen sowas GAR NICHT!
            Wehret den Lemmingen!

  15. deoroller sagt:

    Bei einer Windows 10 Neuinstallation vom 15.01. 2020 dürfte man wohl bereits den gepatchten Realtek-Audiotreiber übers Windows Update erhalten haben.

    Wenn mir jemand antworten könnte, nach welcher Datei man da am besten sucht und welche Versionsnummer sie mindestens haben sollte, wäre ich dankbar.

    Ein Realtek Treiberpaket habe ich nicht installiert, sondern es dabei belassen, was Windows eingerichtet hat. Audio funktioniert fehlerfrei und das reicht mir.
    Meistens nutze ich HDMI Audio und das kommt bei mir von AMD.

    • Hans Werner sagt:

      Schau im Gerätemanager einfach unter “Audio, Video Gamecontroller” den Treiber für “Realtek High Definition Audio” nach. Unter Rechtsklick >>> Treiber findest du die aktuell installierte Treiber Version.

    • Alitai sagt:

      Schau mal im Geräte Manager unter “Audio, Video und Gamecontroller” und dann “Realtek High Definition Audio”.

      “Eigenschaften” dann “Treiber” und dann poste mal die Treiberversion.

      Zusätzlich unter “Details” noch die “Hardware-ID”.

      Danke

      Gruss
      Alitai

      • deoroller sagt:

        “Realtek High Definition Audio” ist nicht im Gerätemanager aufgeführt.
        Dafür steht “High Definition Audio Gerät”
        Treiberversion: 10.0.18362.356

        https://abload.de/image.php?img=audioogkut.jpg

        Das Mainboard hat einen Realtek ALC 892 Chip.

        Ich lese gerade weiter unten:

        “Du verwendest den Treiber namens “High Definition Audio Device” also der von Microsoft und nicht den von Realtek. Kann man auch machen. Dann bist du nicht betroffen.”

        Dann ist alles klar :)
        .

  16. Anonymous sagt:

    Um bei dem ganzen Chaos um die Download-Seiten des neuen Realtek-Treibers für (etwas) Klarheit zu sorgen: dieser wird u.a. bei HP bei den EliteBooks/ProBooks angeboten werden, da diese ohnehin regelmäßige Treiberupdates bekommen (haben).
    Dann könnte man einfach das Setup herunterladen und die .exe von dem HP-Treiber entpacken und die Hardware-IDs vergleichen => somit wäre der Treiber auch auf anderen (möglicherweise) nicht HP-Plattformen einsetzbar.

  17. Micha sagt:

    Habe die Realtek Sound Hardware S1220 auf dem Motherboard verlötet.
    HardwareID:
    HDAUDIO\FUNC_01&VEN_10EC&DEV_1220&SUBSYS_10438735&REV_1000 und HDAUDIO\FUNC_01&VEN_10EC&DEV_1220&SUBSYS_10438735.

    Mit Treiber R2.82 von der Realtek Seite gab es unter Windows 8.1 Pro x64 immer wieder Fehlermeldungen das AUDIODG.EXE im Modul NAHIMICV3apo.dll eine Speicherzugriffsverletzung erzeugt. Habe danach den Realtek eigenen Treiber wieder deinstalliert.

    Der zum Bord zugehörige Treiber von ASUS sorgt über zu viele Zusatzfunktionen dafür das verschiedene Ältere PC Spiele gar nicht mehr starten. Zusätzlich hat der Kopfhöhenverstärker die Angewohnheit sich immer wieder auf die Höchste stufe zu stellen wenn eine Aktivbox angeschlossen wird. Das führt dann zum Übersteuern des Audioverstärkers im Gerät. Manuelle einstellungen werden nach dem Neustart immer wieder zurückgesetzt.

    Momentan läuft Version 6.3.9600.19452 vom 06.08.2019. Der stammt von Windowsupdate. Er macht keine Probleme. Das fehlen vom HDA stört mich nicht.

    • Alitai sagt:

      Alles klar.

      Du verwendest den Treiber namens “High Definition Audio Device” also der von Microsoft und nicht den von Realtek. Kann man auch machen. Dann bist du nicht betroffen.

      Ich habe den jetzt auch genommen, da es für meinen Laptop den Treiber der die Lücke fixen soll gar nicht mehr gibt (Wird nicht mehr supported).

      Gruss
      Alitai

  18. wufuc_MaD sagt:

    eine auflistung von us-patenten bezüglich dem (realtek) ethernet controller ist, was man bei intel und amd gleichermaßen findet, wenn überhaupt. ein punkt der mir bei amd wirklich auf den zeiger geht. meine erfahrung ist, der braucht jetzt 1 2 sekunden mehr zum booten, dafür ist die eingestellte “bootreihenfolge” nun (erst jetzt) stabil. warum wird das bei amd nie erwähnt (sicherheit)?!

    da verkommt es fast zur nebensache, wenn noch andere patentinhaber (asmedia, nuvoton, fresco logic u.s.w.) auf der eigentümlichen hardware vertreten sind.

    abschließend ein auszug von lspci:
    28:00.0 Non-Essential Instrumentation [1300]: Advanced Micro Devices, Inc. [AMD] Zeppelin/Raven/Raven2 PCIe Dummy Function
    28:00.2 Encryption controller: Advanced Micro Devices, Inc. [AMD] Family 17h (Models 00h-0fh) Platform Security Processor

    reicht..

  19. Herbert sagt:

    Habe bei Windows 7 über den Gerätemanger nach einer neuen Version suchen lasse.
    Es wurde ein alte Version von 2013 installiert.Super!
    Autohersteller wären wahrschienlich schon verklagt worden.

  20. Allesbelegt sagt:

    Bei MSI findet man z.B. bei Mainboards mit B450 und X570 Chipsatz den Realtek HD Universal Driver in der Version 6.0.8858.1.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.