Treiberinstallation unter Windows ermöglicht Rechteausweitung auf Systemuser

Durch die automatische Treiberinstallation bei USB-Geräten unter Windows wird häufig ein interaktiver Installer mit Systemrechten gestartet.

Login Box - Username and Password in Internet Browser on Computer ScreenBildquelle: jamdesign

Jonhat zeigte vor einigen Tagen, wie er mithilfe der automatischen Installation des Treibers einer Razer Maus sich Systemrechte erschleichen konnte. Kürzlich entdeckte Lawrence Amer von 0xsp eine ähnliche Lücke bei der Treiberinstallation von SteelSeries-Mäusen. Diese Sicherheitslücke fällt meiner Meinung nach in die Kategorie: „Wieso ist das bisher noch nicht aufgefallen?!“

Als ich vor ein paar Tagen las, dass Windows Update automatisch Treiber und weitere (unnötige) Software für erstmalig angeschlossene Hardware herunterlädt und dann den Installer ohne UAC-Prompt mit Systemrechten startet, dachte ich mir, wer kommt auf so etwas?! An sich ist die automatische Treiberinstallation eine tolle Idee. Aber zusätzlich noch weitere Software für das Gerät zu installieren zu wollen, eher weniger.

Razer Installer erlaubt Privilege Escalation

Beim Anschluss einer Razer-Maus wird von Windows Update automatisch der Razer-Maustreiber inklusive weiterer Software heruntergeladen. Alternativ kann man die Installation auch mit einem Android-Gerät per USB-Emulation auslösen.

Die Treiberinstallation findet nicht komplett im Hintergrund statt, sondern es wird noch ein Installer für die Razer Synapse-Software mit Systemrechten gestartet. Im Installer lässt sich der Installationspfad anpassen. In diesem Explorerdialog lässt sich dann allerdings über die rechte Maustaste ein Powershell-Fenster öffnen. Dies erbt dann die Systemrechte…

Razer kündigte an, sich dem Problem schnellstmöglich anzunehmen.

SteelSeries ebenso betroffen

Es war nur eine Frage der Zeit, bis Hacker die Idee aufgreifen und den gleichen Ansatz bei anderer Hardware versuchen. Wie der Zufall es will, ist auch hier wieder eine Maus betroffen. Diesmal vom Peripheriehersteller SteelSeries. Hier lässt sich auch wieder über den automatisch gestarteten Installer der SteelSeries GG Software ein Kommandozeilenfenster mit Systemrechten starten. Klickt man nun im Endbenutzer-Lizenzvertrag auf „Mehr Informationen“, öffnet man ein Browserfenster. Dort lässt sich dann ebenso ein Explorerdialog über das Menü „Datei“ – „Speichern unter“ öffnen und dort über die rechte Maustaste der gleiche Trick wie beim Razer Installer missbrauchen.

Der Hersteller SteelSeries hat hier umgehend sein Windows-Treiberpaket aktualisiert und startet nun die SteelSeries GG Softwareinstallation nicht mehr automatisch.

Windows 11 Startmenü

Lesen Sie auch

Automatische Installation deaktivieren

Auf allen Geräten bei denen sichergestellt sein muss, dass der Nutzer keine Systemrechte hat, sollte über die Gruppenrichtlinie die automatische Treiberinstallation über Windows Update deaktiviert werden. Dies ist aber nur ein temporärer Workaround. Microsoft sollte zukünftig unbedingt verhindern, dass darüber ein interaktiver Installer gestartet werden kann. Alternativ sollte ein UAC-Prompt sicherstellen, dass der Nutzer Adminrechte besitzt.

In beiden Fällen handelte es sich um zusätzliche Software für die Mäuse, die für den Betrieb nicht unbedingt nötig sind. Auch ein Verzicht darauf wäre eine Lösung.

Tarnkappe.info

Honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.