Die Treiber stammen zum Teil von namhaften Herstellern wie Microsoft, Nvidia, AMD und Samsung. Angreifer können damit ihre Rechte ausweiten.
Schwachstellen in 34 verschiedenen Treibern gefährden zahlreiche Windows-Systeme.(Bild: SAUL LOEB/AFP via Getty Images)
Sicherheitsforscher der VMware Threat Analysis Unit (Tau) haben Schwachstellen in insgesamt 34 verschiedenen Windows-Gerätetreibern identifiziert. Böswillige Akteure können Firmwares gezielt manipulieren und sich auf Zielsystemen höhere Rechte verschaffen. "Alle Treiber geben Nicht-Admin-Benutzern volle Kontrolle über die Geräte", erklären die Forscher in ihrem Bericht.
Ausfindig gemacht hat das Forscherteam die anfälligen Treiber durch einen automatisierten Suchprozess mit Einsatz eines speziellen Skripts, das auf Github zu finden ist. Das Team hat einen kommerziellen Disassembler namens Ida Pro verwendet, der beim Reverse-Engineering häufiger zum Einsatz kommt.
Im Gegensatz zu früheren Untersuchungen, die wohl hauptsächlich auf WDM-Treiber (Windows Driver Model) abzielten, hat Tau auch nach anfälligen WDF-Treibern (Windows Driver Framework) gesucht.
Auch Treiber namhafter Hersteller sind dabei
Insgesamt fanden die Forscher nach eigenen Angaben Schwachstellen in 34 verschiedenen Gerätetreibern, darunter 30 WDM- und 4 WDF-Treiber. Für alle anfälligen Treiber habe es zum Zeitpunkt ihrer Entdeckung gültige Signaturen gegeben. Auch Treiber namhafter Chip-, Bios- und PC-Hersteller seien darunter.
Wer sich die Treiber genauer ansieht, findet unter anderem Exemplare von Unternehmen wie Microsoft, Nvidia, AMD und Samsung. Eine vollständige Liste ist im Bericht der Sicherheitsforscher zu finden. Einige der Gerätetreiber liegen offenbar in unterschiedlichen Versionen vor, denn die VMware-Forscher geben an, insgesamt 237 unterschiedliche Dateihashes für die anfälligen Treiber entdeckt zu haben.
Laut der Forscher verfügen neuere Windows-Systeme zwar inzwischen dank HVCI (Hypervisor-Protected Code Integrity) über einen Sicherheitsmechanismus, der eigentlich vor anfälligen Treibern schützt. Jedoch funktioniert dies nur, wenn die Treiber im Voraus bekannt sind, da Microsoft dafür eine Liste verbotener Gerätetreiber pflegt. So sei es den Forschern möglich gewesen, 29 der 34 identifizierten Treiber unter Windows 11 trotz HVCI zu laden, da Microsoft diese wohl noch nicht bekannt waren.
Nur zwei Hersteller haben Patches bereitgestellt
Wenig zufriedenstellend war offenbar die Reaktion der jeweiligen Hersteller auf die Entdeckungen des VMware-Teams. Die Forscher sagen, dass sie die entdeckten Schwachstellen schon in den Monaten April und Mai 2023 gemeldet haben. Patches wurden offfenbar bisher nur für zwei Treiber bereitgestellt – von AMD und Phoenix Technologies.
"Es scheint wahrscheinlich, dass wir in Zukunft umfassendere Ansätze brauchen als die derzeit von Microsoft verwendete Verbotslistenmethode", warnen die Forscher in ihrem Bericht. "Eine einfache Verhinderung des Ladens von Treibern, die mit widerrufenen Zertifikaten signiert sind, würde zum Beispiel etwa ein Drittel der in dieser Untersuchung aufgedeckten anfälligen Treiber blockieren."
Quelle; golem
Schwachstellen in 34 verschiedenen Treibern gefährden zahlreiche Windows-Systeme.(Bild: SAUL LOEB/AFP via Getty Images)
Sicherheitsforscher der VMware Threat Analysis Unit (Tau) haben Schwachstellen in insgesamt 34 verschiedenen Windows-Gerätetreibern identifiziert. Böswillige Akteure können Firmwares gezielt manipulieren und sich auf Zielsystemen höhere Rechte verschaffen. "Alle Treiber geben Nicht-Admin-Benutzern volle Kontrolle über die Geräte", erklären die Forscher in ihrem Bericht.
Ausfindig gemacht hat das Forscherteam die anfälligen Treiber durch einen automatisierten Suchprozess mit Einsatz eines speziellen Skripts, das auf Github zu finden ist. Das Team hat einen kommerziellen Disassembler namens Ida Pro verwendet, der beim Reverse-Engineering häufiger zum Einsatz kommt.
Im Gegensatz zu früheren Untersuchungen, die wohl hauptsächlich auf WDM-Treiber (Windows Driver Model) abzielten, hat Tau auch nach anfälligen WDF-Treibern (Windows Driver Framework) gesucht.
Auch Treiber namhafter Hersteller sind dabei
Insgesamt fanden die Forscher nach eigenen Angaben Schwachstellen in 34 verschiedenen Gerätetreibern, darunter 30 WDM- und 4 WDF-Treiber. Für alle anfälligen Treiber habe es zum Zeitpunkt ihrer Entdeckung gültige Signaturen gegeben. Auch Treiber namhafter Chip-, Bios- und PC-Hersteller seien darunter.
Wer sich die Treiber genauer ansieht, findet unter anderem Exemplare von Unternehmen wie Microsoft, Nvidia, AMD und Samsung. Eine vollständige Liste ist im Bericht der Sicherheitsforscher zu finden. Einige der Gerätetreiber liegen offenbar in unterschiedlichen Versionen vor, denn die VMware-Forscher geben an, insgesamt 237 unterschiedliche Dateihashes für die anfälligen Treiber entdeckt zu haben.
Laut der Forscher verfügen neuere Windows-Systeme zwar inzwischen dank HVCI (Hypervisor-Protected Code Integrity) über einen Sicherheitsmechanismus, der eigentlich vor anfälligen Treibern schützt. Jedoch funktioniert dies nur, wenn die Treiber im Voraus bekannt sind, da Microsoft dafür eine Liste verbotener Gerätetreiber pflegt. So sei es den Forschern möglich gewesen, 29 der 34 identifizierten Treiber unter Windows 11 trotz HVCI zu laden, da Microsoft diese wohl noch nicht bekannt waren.
Nur zwei Hersteller haben Patches bereitgestellt
Wenig zufriedenstellend war offenbar die Reaktion der jeweiligen Hersteller auf die Entdeckungen des VMware-Teams. Die Forscher sagen, dass sie die entdeckten Schwachstellen schon in den Monaten April und Mai 2023 gemeldet haben. Patches wurden offfenbar bisher nur für zwei Treiber bereitgestellt – von AMD und Phoenix Technologies.
"Es scheint wahrscheinlich, dass wir in Zukunft umfassendere Ansätze brauchen als die derzeit von Microsoft verwendete Verbotslistenmethode", warnen die Forscher in ihrem Bericht. "Eine einfache Verhinderung des Ladens von Treibern, die mit widerrufenen Zertifikaten signiert sind, würde zum Beispiel etwa ein Drittel der in dieser Untersuchung aufgedeckten anfälligen Treiber blockieren."
Quelle; golem
