Realtek schließt DLL-Hijacking-Schwachstelle in HD Audiotreiber-Paket

[English]Der Hersteller Realtek hat eine DLL Hijacking-Schwachstelle in seinem HD Audiotreiber-Paket geschlossen. Hier einige Informationen zu diesem Thema.


Anzeige

Ich finde das ganze ja einen äußerst spannende Geschichte, da ich hier im Blog ja gelegentlich auf DLL-Hijacking-Schwachstellen in Software hinweise.

Schwachstelle im Realtek-Audiotreiber-Paket

Ich bin über Bleeping Computer auf das Thema gestoßen. Peleg Hadar hat die DLL-Hijacking-Schwachstelle gefunden und weist in diesem Tweet nun auf das Problem hin.

In diesem Artikel beschreibt Hadar die von SafeBreach Labs gefundene Schwachstelle CVE-2019-19705. Hadar benutzte dabei seine von ihm entwickelte Wächter-DLLs und stellte fest, dass die MFC-Anwendung RAVBg64.exe (gehört zu Realtek) DLLs nachlädt, ohne deren Pfad zu berücksichtigen. So würde eine fehlende (System-)DLL von Windows aus dem aktuellen Arbeitsverzeichnis nachgeladen.

Konkret versucht der HD-Audio-Hintergrundprozess, der als NT AUTHORITY\SYSTEM läuft, die RAVBg64ENU.dll und die RAVBg64LOC.dll aus dem Arbeitsverzeichnis

C:\Program Files\Realtek\Audio\HDA\

zu importieren, obwohl die DLLs dort nicht zu finden sind. Ein Angreifer mit entsprechenden Berechtigungen könnte damit eigene Dateien diesen Namens in diesem Ordner ablegen. Diese würde vom HD-Audio-Hintergrundprozess geladen und würden es erlauben, Malware persistent im System zu verankern.

Schwachstelle gefixt, alte Treiberpakete als Problem

Die Schwachstelle wurde Realtek am 10. Juli 2019 gemeldet, und am 13. Dezember 2019 mit einem Patch geschlossen. Der Fix findet sich im Realtek HD-Audio-Treiberpaket ver.8857 oder neuer. Treiberversionen vor 8855, die mit Microsoft Visual Studio 2005 (VS2005) erstellt wurden, sind immer noch anfällig für Angriffe.


Anzeige

Ich habe beim Schreiben des Beitrags diesen Kommentar von Blog-Leser 1ST1 gesehen, der auf ein gravierendes Problem hinweist:

Das blöde ist nur, auf www.realtek.com und realtek-downloads.com findet man nur HD-Audio-Treiber aus dem Jahr 2017 und 18, aber nichts aus dem Dezember 2019. Und die haben andere Versionsnummern: 2.xx, und nixda mit 88xx…

Darüber beschweren sich die Leute auch hier https://www.tenforums.com/sound-audio/135259-latest-realtek-hd-audio-driver-version-2-a-145.html und bieten noch neuere Treiber, der neueste ist 8888.1 über Downloadlinks in der Mangenta-Cloud an. Vertrauensvoll finde ich das aber nicht…

Vielleicht findet man diese neueren Versionen auch auf Webseiten von Mainboardherstellern (ASUS, MSI, Gigabyte, …), aber dafür müsste man Realtek echt mal in den Hintern treten.

Damit ist der Punkt ausreichend umschrieben. Vielleicht ist das ja für den einen oder anderen Leser hilfreich.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

53 Antworten zu Realtek schließt DLL-Hijacking-Schwachstelle in HD Audiotreiber-Paket

  1. Gerold sagt:

    "Der Hersteller Realtek hat eine DLL Hijacking-Schwachstelle in seinem HD Auditreiber-Paket geschlossen."

    Den Auditreiber sollten alle Audi-Fahrer sofort installieren …

  2. Alfred neumann sagt:

    Aktuelle Realtek Treiber zu finden ist doch schon länger ein Graus.
    Aktualisierungen werden doch nur noch an die MoBo Hersteller weiter gegeben und die haben Zeit, wenn sie denn überhaupt mal mit einer Aktualisierung um die Ecke kommen.

    ASrock ist z.Z. noch bei Version 8668 und die kamen erst im JAN 2020 raus!

  3. Hans Thölen sagt:

    Am 03. 02. 2020 habe von der Realtek Webseite den Treiber mit der Versions Nr.
    6.0.1.8186 heruntergeladen und installiert. Kann mir bitte ein Blog Teilnehmer
    sagen, ob diese Version sicher oder unsicher ist ? Ich bedanke mich schon im Voraus

  4. wufuc_MaD sagt:

    ://www.station-drivers.com/index.php?option=com_remository&Itemid=352&func=startdown&id=4271&lang=en

    die seite ist ne spende wert! das nebenbei!

    Realtek High Definition Audio (HDA) R2.8x (8862.1) WHQL

    300MB, der "echte / komplette" audio treiber..

    bei manchen alten intel chipsätzen funzt der nicht, da… eh..
    "Microsoft UAA Driver" (uralt)
    enthalten sein muss…

    bei aktuellen boards ziehe ich den "echten" treiber immer vor. der UWP treiber (die 30mb app) ist einfach shice! bei dem 10mb ms treiber fehlt der audio manager..

    lg!

    • Dekre sagt:

      Siehe unten von mir, auch bei Computerbase.

    • 1ST1 sagt:

      Der ist vom 17.12.2019, außerdem inoffiziell (Officiel: non). Wer den Treiber wegen Sicherheitsbedenken austauschen will/muss, verlässt sich nicht auf solche Quellen.

      • Dekre sagt:

        richtig, danke, aber ich dachte… (weil das was von Januar 2020 steht?!).
        Bei Realtek findet man nur nach anstrengenden Suchen und dann …?
        Ich bin wieder zurück und jetzt geht es wieder.

        • wufuc_MaD sagt:

          auf der seite findest du intel ME / CSME updates (critical 9.8) die du auf herstellerseiten lange suchen kannst, insbesondere wenns um ältere hardware geht.

          quellen der firmwareupdates (hersteller-links) sind angegeben, ein me-update von hp funzt auch bei nem medion (lenovo) u.s.w.

          für mein board gibts seit 6 monaten auch keine hdaudio updates mehr, daher hab ich den verlinkten in meinem "zweitsystem windows" installiert.

          und wegen vertrauen… ….

          sage mir was eine (versteckte) desktop.ini (eigentlich eine windows datei) im archiv für folgendes BIOS-UPDATE:
          ps://download.msi.com/bos_exe/mb/7C02v18.zip

          mit folgendem inhalt:
          [ShellClassInfo]
          ConfirmFileOp=0
          IconResource=C:\Program Files\Google\Drive File Stream\31.0.19.0\GoogleDriveFS.exe,21
          zu suchen hat!! bitte!

          nach diesem super seriösen bios update wird aus 7C02 E7C02, und eine rückkehr zu einem "non-E" bios ist nicht mehr möglich.. verschwörungstheorie?!?.. blabla

          und schau dich mal in "offiziellen" realtek paketen um.

          ich sehe das kritisch!

  5. Dekre sagt:

    Ich habe jetzt mal versucht, was neues zu installieren – funktioniert nicht.
    Ich habe wieder den alten installiert und lasse es so.

    Die von MS angebotenen funktionieren nicht immer und sollten auch bei Umstellung Win7 – Win10 dann installiert werden. Das hat er aber bei mir nicht. Ich habe jetzt wieder einen aus 2016 installiert der vom PC-Hersteller angeboten wird und so funtioniert es auch.

  6. Dekre sagt:

    Es gibt bei Computerbase diese Seite:

    https://www.computerbase.de/downloads/treiber/soundkarten/realtek-hd-audio-treiber/

    Ich bin aber wieder zurückgegangen, weil es nicht funktioniert. Es hängt wohl auch vom PC-System ab.

  7. AUTSCH!
    Diese Schwachstelle kann nur von einem Benutzer mit Administratorrechten ausgenutzt werden. Dieser Peleg Hadar "findet" seit etwa einem Jahr immer wieder solche Schwachstellen, die KEINE Sicherheitslücken sind.
    Andererseits ist das Nachladen von DLLs ohne Angabe des Pfadnamens natürlich ein BLUTIGER Anfängerfehler resp. eine SCHLAMPEREI, die der Hersteller beheben muss!
    JFTR: "C:\Program Files\Realtek\Audio\HDA\" ist das ANWENDUNGS-Verzeichnis, NICHT das Arbeitsverzeichnis alias C(urrent)W(working)D(irectory)!
    Letzteres kann ein Angreifer NICHT vorgeben, sondern nur der Aufrufer des Dienstes … und der hat bereits SYSTEM-Rechte.

  8. Skytravel sagt:

    Ich hoffe ich kann euch helfen da ich in meinen alten PC eine ältere Realtek Sounkarte verbaut ist kannte ich das Probelem mit finden aktueller Realthek Treiber für die Soundkarte da wie gesagt auf der der Seite https://www.realtek.com/en/component/zoo/category/pc-audio-codecs-high-definition-audio-codecs-software nur veraltet Treiber angeboten werden.

    Hab ich mich vor 1 Jahr mal auf die Suche gemacht und bin auf dieser Seite https://forum.lowyat.net/topic/658002
    gestoßen die noch aktuelle Soundtreiber von Realthek anbieten voher diese stammen weis ich nicht hatte noch nie Probleme mit den Soundtreiber von der Webseite
    Angebote werden regelmaßig Neue Realtek WHQL HD Audio Driver
    Manschmal auch Beta Treiber , Universal Audio Driver

    Aktueller Realtek WHQL HD Audio Driver ist
    Version 6.0.8882.1 von 15.01.2020

    Aktueller Realtek WHQL (Test) Universal Audio Driver ist
    Version 6.0.8885.1 von 21.01.2020

    zu finden auf https://forum.lowyat.net/topic/658002/+1480
    Neue Treiber werden immer in einen neuen separaten Post veröfentlicht.

  9. Anonymous sagt:

    Realtek HD Audio Driver 6.0.8882.1 WHQL
    https://forum.lowyat.net/topic/658002/+1480

  10. Stefan Kanthak sagt:

    RealTek sind doch nur Waisenknaben.
    Nicht nur Microsoft verbricht VIEL hübschere "Sicherheitslücken" solchen Kalibers (und das gleich im Dutzend), beispielsweise folgende, seit 14 Jahren offene Schwachstelle: der unter SYSTEM-Konto laufende Dienst bfsvc.exe (der den Boot-Manager installiert/repariert/aktualisiert und den BCD schreibt) lädt u.a. VERSION.dll aus C:Windows statt aus C:WindowsSystem32
    Soll ich mit Mozilla weitermachen? Deren mit Firefox und Thunderbird installierter und unter SYSTEM-Konto laufender Updater hat nicht nur diese, sondern noch einige weitere Schwachstellen.
    Alternativ der Google-Updater, der mit Chrome (oder Chromium-Edge) installiert wird und unter SYSTEM-Konto läuft.
    Nicht zu vergessen der Updater für Adobe Flash oder Acrobat, …

    • Dekre sagt:

      Richtig. ich weiß auch nicht woher das immer kommt. Irgendwer hat irgendwo was entdeckt und dann ein PC über Audio zu kompromittieren, geht nicht so einfach. Das hängt auch vom PC-System ab.

      Das was Du beschreibst mit den anderen Programmen ist mir als Laie auch schon aufgefallen.

    • 1ST1 sagt:

      Schön dass der Spezialist hier mitliest… Microsoft gehört auch gehörig in den Hintern getreten… Man soll ja schön Applocker bzw. SRP/Safer benutzen, damit nichts gestartet werden kann was nicht vom admin installiert wurde, und das Tier-Modell einführen, um lokale Admin-Accounts in ihrer Reichweite zu begrenzen. Normale Benutzeraccounts ohne lokale Admin-Rechte, wenns sein muss zusätzlicher lokaler Admin-Account, und so… Dazu gehört natürlich auch, dass Admins nicht online gehen dürfen. Versuch mal unter diesen Bedingungen ein MS-Visual Studio 2019 zu benutzen… Da trudeln täglich Updates ein, die ohne Admin-Rechte nicht installiert werden können… Übrigens, in WSUS ist bei Visual Studio 2015 schluss, neuere kommen darüber nicht mehr. Oder anderes Beispiel, MS-Teams, was ja jetzt alle haben wollen und müssen (weil es Skype for Business ablösen soll), das installiert seine Files mal gerade eben unter %userhome%\appdata\…\update.exe Wunderbar! Eine EXE-Datei in einem vom Benutzer beschreibbaren Ordner. Emotet freut sich sicher schon… OneDrive macht das übrigens auch so! Ok, so wird OneDrive wenigstens wirksam vom Applocker geblockt. Aber Teams WILL man ja haben! Wenigstens kann man aber mit Applocker auch anhand Herstellerzertifikat, Anwendungsname, Version freigeben, aber wer die SRP nutzt, hat da keine Chance! Man könnte dem Nadella mal die Finger um den Hals legen und…

      • Zu SRPv1: das kann selbstverständlich auch anhand von Zertifikaten blockieren oder zulassen!
        Abgesehen davon: Teams will NIEMAND bei klarem Verstand einsetzen.
        Zu VisualStudio: das ist nur was für Weicheier!
        Compiler, Linker, NMake, RC, MC und SignTool genügen völlig, und sie funktionieren ganz ohne GUI und auch ohne dieses BESCHEUERTE und UNSICHERE .NET-Framework!

  11. deoroller sagt:

    Bei einer Windows 10 Neuinstallation vom 15.01. 2020 dürfte man wohl bereits den gepatchten Realtek-Audiotreiber übers Windows Update erhalten haben.

    Wenn mir jemand antworten könnte, nach welcher Datei man da am besten sucht und welche Versionsnummer sie mindestens haben sollte, wäre ich dankbar.

    Ein Realtek Treiberpaket habe ich nicht installiert, sondern es dabei belassen, was Windows eingerichtet hat. Audio funktioniert fehlerfrei und das reicht mir.
    Meistens nutze ich HDMI Audio und das kommt bei mir von AMD.

    • Hans Werner sagt:

      Schau im Gerätemanager einfach unter "Audio, Video Gamecontroller" den Treiber für "Realtek High Definition Audio" nach. Unter Rechtsklick >>> Treiber findest du die aktuell installierte Treiber Version.

    • Alitai sagt:

      Schau mal im Geräte Manager unter "Audio, Video und Gamecontroller" und dann "Realtek High Definition Audio".

      "Eigenschaften" dann "Treiber" und dann poste mal die Treiberversion.

      Zusätzlich unter "Details" noch die "Hardware-ID".

      Danke

      Gruss
      Alitai

  12. Anonymous sagt:

    Um bei dem ganzen Chaos um die Download-Seiten des neuen Realtek-Treibers für (etwas) Klarheit zu sorgen: dieser wird u.a. bei HP bei den EliteBooks/ProBooks angeboten werden, da diese ohnehin regelmäßige Treiberupdates bekommen (haben).
    Dann könnte man einfach das Setup herunterladen und die .exe von dem HP-Treiber entpacken und die Hardware-IDs vergleichen => somit wäre der Treiber auch auf anderen (möglicherweise) nicht HP-Plattformen einsetzbar.

  13. Micha sagt:

    Habe die Realtek Sound Hardware S1220 auf dem Motherboard verlötet.
    HardwareID:
    HDAUDIO\FUNC_01&VEN_10EC&DEV_1220&SUBSYS_10438735&REV_1000 und HDAUDIO\FUNC_01&VEN_10EC&DEV_1220&SUBSYS_10438735.

    Mit Treiber R2.82 von der Realtek Seite gab es unter Windows 8.1 Pro x64 immer wieder Fehlermeldungen das AUDIODG.EXE im Modul NAHIMICV3apo.dll eine Speicherzugriffsverletzung erzeugt. Habe danach den Realtek eigenen Treiber wieder deinstalliert.

    Der zum Bord zugehörige Treiber von ASUS sorgt über zu viele Zusatzfunktionen dafür das verschiedene Ältere PC Spiele gar nicht mehr starten. Zusätzlich hat der Kopfhöhenverstärker die Angewohnheit sich immer wieder auf die Höchste stufe zu stellen wenn eine Aktivbox angeschlossen wird. Das führt dann zum Übersteuern des Audioverstärkers im Gerät. Manuelle einstellungen werden nach dem Neustart immer wieder zurückgesetzt.

    Momentan läuft Version 6.3.9600.19452 vom 06.08.2019. Der stammt von Windowsupdate. Er macht keine Probleme. Das fehlen vom HDA stört mich nicht.

    • Alitai sagt:

      Alles klar.

      Du verwendest den Treiber namens "High Definition Audio Device" also der von Microsoft und nicht den von Realtek. Kann man auch machen. Dann bist du nicht betroffen.

      Ich habe den jetzt auch genommen, da es für meinen Laptop den Treiber der die Lücke fixen soll gar nicht mehr gibt (Wird nicht mehr supported).

      Gruss
      Alitai

  14. wufuc_MaD sagt:

    eine auflistung von us-patenten bezüglich dem (realtek) ethernet controller ist, was man bei intel und amd gleichermaßen findet, wenn überhaupt. ein punkt der mir bei amd wirklich auf den zeiger geht. meine erfahrung ist, der braucht jetzt 1 2 sekunden mehr zum booten, dafür ist die eingestellte "bootreihenfolge" nun (erst jetzt) stabil. warum wird das bei amd nie erwähnt (sicherheit)?!

    da verkommt es fast zur nebensache, wenn noch andere patentinhaber (asmedia, nuvoton, fresco logic u.s.w.) auf der eigentümlichen hardware vertreten sind.

    abschließend ein auszug von lspci:
    28:00.0 Non-Essential Instrumentation [1300]: Advanced Micro Devices, Inc. [AMD] Zeppelin/Raven/Raven2 PCIe Dummy Function
    28:00.2 Encryption controller: Advanced Micro Devices, Inc. [AMD] Family 17h (Models 00h-0fh) Platform Security Processor

    reicht..

  15. Herbert sagt:

    Habe bei Windows 7 über den Gerätemanger nach einer neuen Version suchen lasse.
    Es wurde ein alte Version von 2013 installiert.Super!
    Autohersteller wären wahrschienlich schon verklagt worden.

  16. Allesbelegt sagt:

    Bei MSI findet man z.B. bei Mainboards mit B450 und X570 Chipsatz den Realtek HD Universal Driver in der Version 6.0.8858.1.

Schreibe einen Kommentar zu Harald.L Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.