Forscher der Sicherheitsfirma Eclypsium haben herausgefunden, dass 40 Hardware-Treiber anfällig sind für eine Privilege Escalation. Davon betroffen sind mehr als 20 Hardware-Hersteller unter anderem Nvidia, MSI etc..
Damit der Prozessor mit Endgeräten (wie z.B. Laufwerken) verschiedener Hersteller zusammenarbeiten kann, muss zunächst eine gemeinsame Schnittstelle eingerichtet werden. So auch in der Software. Das Betriebssystem benötigt Treiber zur Ansteuerung von Software- und Hardware-Komponenten. Der Treiber ermöglicht somit die Kommunikation zwischen Betriebssystem-Kernel und Hardware. Dementsprechend benötigen sie somit höhere Rechte als der normale Benutzer und der Administrator des Systems. Dadurch sind Schwachstellen in Treibern ein ernsthaftes Problem, da sie von einem Angreifer ausgenutzt werden können, um Zugriff auf den Kernel zu erhalten.
Den Treibern wird vertraut
Forscher der Sicherheitsfirma Eclypsium entdeckten Schwachstellen in mehr als 40 Treibern. So stellten sie fest, dass sie missbraucht werden können, um von den Nutzer-Berechtigungen auf die Kernelberechtigungen zu eskalieren. Betroffen sind davon alle großen BIOS-Anbieter wie beispielsweise ASUS, Intel, Gigabyte und Nvidia etc..
Vom Kernel aus kann der Angreifer die Firmware- und Hardwareschnittstellen ansteuern. So dass Antivirus-Lösungen nicht einmal den Angreifer erkennen können und dieser auf dem Zielsystem jeglichen Code ausführen kann.
Treiber benötigen Administratorrechte zur Installation
Um auf Windows einen Treiber zu installieren, benötigt man Adminrechte und die Herausgeber der Treiber müssen von Microsoft zertifiziert sein. Der Treiber wird auch von gültigen Zertifizierungsstellen signiert, um die Authentizität zu belegen.
Treiber von mehreren Komponenten sind betroffen
Laut den Forschern, sind Treiber von Grafikkarten, Netzwerkadaptern, Festplatten usw. betroffen. Komponenten, die von Malware betroffen sind, könnten Daten lesen, schreiben oder gar umleiten. Darüber hinaus können die Komponenten deaktiviert werden, was zu einem Denial-of-Service des Systems führen kann. Angriffe, die durch Schwachstellen in Treibern genutzt werden, gab es bereits schon. So gelang der Slingshot APT-Gruppe (Advanced Persistend Threat) durch Schwachstellen in alten Treiber eine Privilege Escalation.
Aktuelle Windows Versionen sind betroffen
Alle aktuellen Versionen von Windows sind von diesem Problem betroffen. Microsoft hat keinen Schutzmechanismus implementiert, der das Laden der anfälligen Treiber verhindert. Angreifer können sie gezielt für Zwecke der Privilegien-Eskalation installieren. Die einzige Lösung die den Nutzern bleibt, ist das regelmäßige updaten der Treiber.
Zu den betroffenen Herstellern zählen:
Du musst Regestriert sein, um das angehängte Bild zusehen.
Damit der Prozessor mit Endgeräten (wie z.B. Laufwerken) verschiedener Hersteller zusammenarbeiten kann, muss zunächst eine gemeinsame Schnittstelle eingerichtet werden. So auch in der Software. Das Betriebssystem benötigt Treiber zur Ansteuerung von Software- und Hardware-Komponenten. Der Treiber ermöglicht somit die Kommunikation zwischen Betriebssystem-Kernel und Hardware. Dementsprechend benötigen sie somit höhere Rechte als der normale Benutzer und der Administrator des Systems. Dadurch sind Schwachstellen in Treibern ein ernsthaftes Problem, da sie von einem Angreifer ausgenutzt werden können, um Zugriff auf den Kernel zu erhalten.
Du musst angemeldet sein, um Bilder zu sehen.
Den Treibern wird vertraut
Forscher der Sicherheitsfirma Eclypsium entdeckten Schwachstellen in mehr als 40 Treibern. So stellten sie fest, dass sie missbraucht werden können, um von den Nutzer-Berechtigungen auf die Kernelberechtigungen zu eskalieren. Betroffen sind davon alle großen BIOS-Anbieter wie beispielsweise ASUS, Intel, Gigabyte und Nvidia etc..
„All these vulnerabilities allow the driver to act as a proxy to perform highly privileged access to the hardware resources, such as read and write access to processor and chipset I/O space, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), physical memory and kernel virtual memory.“ – Eclypsium
Vom Kernel aus kann der Angreifer die Firmware- und Hardwareschnittstellen ansteuern. So dass Antivirus-Lösungen nicht einmal den Angreifer erkennen können und dieser auf dem Zielsystem jeglichen Code ausführen kann.
Treiber benötigen Administratorrechte zur Installation
Um auf Windows einen Treiber zu installieren, benötigt man Adminrechte und die Herausgeber der Treiber müssen von Microsoft zertifiziert sein. Der Treiber wird auch von gültigen Zertifizierungsstellen signiert, um die Authentizität zu belegen.
Treiber von mehreren Komponenten sind betroffen
Laut den Forschern, sind Treiber von Grafikkarten, Netzwerkadaptern, Festplatten usw. betroffen. Komponenten, die von Malware betroffen sind, könnten Daten lesen, schreiben oder gar umleiten. Darüber hinaus können die Komponenten deaktiviert werden, was zu einem Denial-of-Service des Systems führen kann. Angriffe, die durch Schwachstellen in Treibern genutzt werden, gab es bereits schon. So gelang der Slingshot APT-Gruppe (Advanced Persistend Threat) durch Schwachstellen in alten Treiber eine Privilege Escalation.
Aktuelle Windows Versionen sind betroffen
Alle aktuellen Versionen von Windows sind von diesem Problem betroffen. Microsoft hat keinen Schutzmechanismus implementiert, der das Laden der anfälligen Treiber verhindert. Angreifer können sie gezielt für Zwecke der Privilegien-Eskalation installieren. Die einzige Lösung die den Nutzern bleibt, ist das regelmäßige updaten der Treiber.
Zu den betroffenen Herstellern zählen:
- American Megatrends International (AMI)
- ASRock
- ASUSTeK Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
Zuletzt bearbeitet: