Windows Hardware-Treiber sind anfällig für eine Privilege Escalation

Forscher der Sicherheitsfirma Eclypsium haben herausgefunden, dass 40 Hardware-Treiber anfällig sind für eine Privilege Escalation. Davon betroffen sind mehr als 20 Hardware-Hersteller unter anderem Nvidia, MSI etc..

Damit der Prozessor mit Endgeräten (wie z.B. Laufwerken) verschiedener Hersteller zusammenarbeiten kann, muss zunächst eine gemeinsame Schnittstelle eingerichtet werden. So auch in der Software. Das Betriebssystem benötigt Treiber zur Ansteuerung von Software- und Hardware-Komponenten. Der Treiber ermöglicht somit die Kommunikation zwischen Betriebssystem-Kernel und Hardware. Dementsprechend benötigen sie somit höhere Rechte als der normale Benutzer und der Administrator des Systems. Dadurch sind Schwachstellen in Treibern ein ernsthaftes Problem, da sie von einem Angreifer ausgenutzt werden können, um Zugriff auf den Kernel zu erhalten.

Den Treibern wird vertraut

Forscher der Sicherheitsfirma Eclypsium entdeckten Schwachstellen in mehr als 40 Treibern. So stellten sie fest, dass sie missbraucht werden können, um von den Nutzer-Berechtigungen auf die Kernelberechtigungen zu eskalieren. Betroffen sind davon alle großen Hardware-Anbieter wie beispielsweise ASUS, Intel, Gigabyte und Nvidia etc..

„All these vulnerabilities allow the driver to act as a proxy to perform highly privileged access to the hardware resources, such as read and write access to processor and chipset I/O space, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), physical memory and kernel virtual memory.“ – Eclypsium

Vom Kernel aus kann der Angreifer die Firmware- und Hardwareschnittstellen ansteuern. So dass Antivirus-Lösungen nicht einmal den Angreifer erkennen können und dieser auf dem Zielsystem jeglichen Code ausführen kann.


Anzeige

Treiber benötigen Administratorrechte zur Installation

Um auf Windows einen Treiber zu installieren, benötigt man Adminrechte und die Herausgeber der Treiber müssen von Microsoft zertifiziert sein. Der Treiber wird auch von gültigen Zertifizierungsstellen signiert, um die Authentizität zu belegen.

Treiber von mehreren Komponenten sind betroffen

Laut den Forschern, sind Treiber von Grafikkarten, Netzwerkadaptern, Festplatten usw. betroffen. Komponenten, die von Malware betroffen sind, könnten Daten lesen, schreiben oder gar umleiten. Darüber hinaus können die Komponenten deaktiviert werden, was zu einem Denial-of-Service des Systems führen kann. Angriffe, die durch Schwachstellen in Treibern genutzt werden, gab es bereits schon. So gelang der Slingshot APT-Gruppe (Advanced Persistend Threat) durch Schwachstellen in alten Treiber eine Privilege Escalation.

Aktuelle Windows Versionen sind betroffen

Alle aktuellen Versionen von Windows sind von diesem Problem betroffen. Microsoft hat keinen Schutzmechanismus implementiert, der das Laden der anfälligen Treiber verhindert. Angreifer können sie gezielt für Zwecke der Privilegien-Eskalation installieren. Die einzige Lösung die den Nutzern bleibt, ist das regelmäßige updaten der Treiber.

Zu den betroffenen Herstellern zählen:

  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

 

Tarnkappe.info

Beitragsbild von Alexandre Debiève, thx!

Vielleicht gefällt dir auch