Sicherheitslücken bei der Rechteausweitung in über 40 Windows-Treibern gefunden

3 Minute. lesen

Veröffentlicht am 11. August 2019

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen.

Forscher des Cybersicherheitsunternehmens Eclypsium haben herausgefunden, dass mehr als 40 verschiedene Treiber von 20 von Microsoft zertifizierten Hardwareanbietern schlechten Code enthielten, der ausgenutzt werden könnte, um einen Eskalations-of-Privilege-Angriff durchzuführen.

Auf der diesjährigen DEF CON-Konferenz in Las Vegas veröffentlichte Eclypsium eine Liste der betroffenen großen BIOS-Anbieter und Hardwarehersteller, darunter ASUS, Huawei, Intel, NVIDIA und Toshiba.

Die Treiber betreffen alle Windows-Versionen, wodurch Millionen gefährdet sind. Treiber könnten böswilligen Anwendungen möglicherweise ermöglichen, Kernel-Privilegien auf Benutzerebene zu erlangen und dadurch direkten Zugriff auf Firmware und Hardware zu erhalten.

Die Malware kann direkt in die Firmware installiert werden, sodass eine Neuinstallation des Betriebssystems nicht einmal eine Lösung ist.

All diese Schwachstellen ermöglichen es dem Treiber, als Proxy zu fungieren, um hochprivilegierten Zugriff auf die Hardwareressourcen durchzuführen, wie z. B. Lese- und Schreibzugriff auf Prozessor- und Chipsatz-E/A-Bereich, modellspezifische Register (MSR), Steuerregister (CR), Debug Register (DR), physischer Speicher und virtueller Kernelspeicher. Dies ist eine Rechteausweitung, da sie einen Angreifer vom Benutzermodus (Ring 3) in den OS-Kernelmodus (Ring 0) versetzen kann. Das Konzept der Schutzringe ist in der folgenden Abbildung zusammengefasst, in der jedem nach innen gerichteten Ring schrittweise mehr Privilegien gewährt werden. Es ist wichtig zu beachten, dass selbst Administratoren neben anderen Benutzern auf Ring 3 (und nicht tiefer) arbeiten. Der Zugriff auf den Kernel kann einem Angreifer nicht nur den privilegiertesten Zugriff auf das Betriebssystem verschaffen, er kann auch Zugriff auf die Hardware- und Firmware-Schnittstellen mit noch höheren Privilegien gewähren, wie z. B. die System-BIOS-Firmware.

Wenn ein anfälliger Treiber bereits auf dem System vorhanden ist, muss eine bösartige Anwendung nur danach suchen, um die Berechtigungen zu erhöhen. Wenn der Treiber nicht vorhanden ist, könnte eine bösartige Anwendung den Treiber mitbringen, aber die Genehmigung des Administrators erfordern, um sie zu installieren.

Der Treiber stellt nicht nur die erforderlichen Berechtigungen bereit, sondern auch den Mechanismus, um Änderungen vorzunehmen.

In einer Erklärung gegenüber ZDNet erwähnte Mickey Shkatov, Principal Researcher bei Eclypsium:

Microsoft wird seine HVCI-Funktion (Hypervisor-enforced Code Integrity) verwenden, um ihm gemeldete Treiber auf die schwarze Liste zu setzen.

Diese Funktion ist nur auf Intel-Prozessoren der 7. Generation und höher verfügbar; Bei älteren CPUs oder neueren, bei denen HCVI deaktiviert ist, müssen die Treiber daher manuell deinstalliert werden.

Microsoft fügte außerdem hinzu:

Um anfällige Treiber auszunutzen, müsste ein Angreifer den Computer bereits kompromittiert haben.

Ein Angreifer, der das System in der Berechtigungsstufe Ring 3 kompromittiert hat, könnte sich dann Kernel-Zugriff verschaffen.

Microsoft hat diesen Rat herausgegeben:

(Verwenden Sie) Windows Defender Application Control, um unbekannte anfällige Software und Treiber zu blockieren.

Kunden können sich weiter schützen, indem sie die Speicherintegrität für fähige Geräte in der Windows-Sicherheit aktivieren

Hier ist die vollständige Liste aller Anbieter, die ihre Treiber bereits aktualisiert haben: