Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwert bleiben

Hardware & Software Windows Hardware-Treiber sind anfällig für eine Privilege Escalation

josef.13

Moderator
Teammitglied
Mitglied seit
1. Juli 2009
Beiträge
20.042
Reaktion auf Beiträge
21.798
Punkte
163
Forscher der Sicherheitsfirma Eclypsium haben herausgefunden, dass 40 Hardware-Treiber anfällig sind für eine Privilege Escalation. Davon betroffen sind mehr als 20 Hardware-Hersteller unter anderem Nvidia, MSI etc..

alexandre-debieve-FO7JIlwjOtU-unsplash-min-1-768x512.jpg

Damit der Prozessor mit Endgeräten (wie z.B. Laufwerken) verschiedener Hersteller zusammenarbeiten kann, muss zunächst eine gemeinsame Schnittstelle eingerichtet werden. So auch in der Software. Das Betriebssystem benötigt Treiber zur Ansteuerung von Software- und Hardware-Komponenten. Der Treiber ermöglicht somit die Kommunikation zwischen Betriebssystem-Kernel und Hardware. Dementsprechend benötigen sie somit höhere Rechte als der normale Benutzer und der Administrator des Systems. Dadurch sind Schwachstellen in Treibern ein ernsthaftes Problem, da sie von einem Angreifer ausgenutzt werden können, um Zugriff auf den Kernel zu erhalten.


Den Treibern wird vertraut

Forscher der Sicherheitsfirma Eclypsium entdeckten Schwachstellen in mehr als 40 Treibern. So stellten sie fest, dass sie missbraucht werden können, um von den Nutzer-Berechtigungen auf die Kernelberechtigungen zu eskalieren. Betroffen sind davon alle großen BIOS-Anbieter wie beispielsweise ASUS, Intel, Gigabyte und Nvidia etc..

„All these vulnerabilities allow the driver to act as a proxy to perform highly privileged access to the hardware resources, such as read and write access to processor and chipset I/O space, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), physical memory and kernel virtual memory.“ – Eclypsium
Vom Kernel aus kann der Angreifer die Firmware- und Hardwareschnittstellen ansteuern. So dass Antivirus-Lösungen nicht einmal den Angreifer erkennen können und dieser auf dem Zielsystem jeglichen Code ausführen kann.

Treiber benötigen Administratorrechte zur Installation
Um auf Windows einen Treiber zu installieren, benötigt man Adminrechte und die Herausgeber der Treiber müssen von Microsoft zertifiziert sein. Der Treiber wird auch von gültigen Zertifizierungsstellen signiert, um die Authentizität zu belegen.

Treiber von mehreren Komponenten sind betroffen
Laut den Forschern, sind Treiber von Grafikkarten, Netzwerkadaptern, Festplatten usw. betroffen. Komponenten, die von Malware betroffen sind, könnten Daten lesen, schreiben oder gar umleiten. Darüber hinaus können die Komponenten deaktiviert werden, was zu einem Denial-of-Service des Systems führen kann. Angriffe, die durch Schwachstellen in Treibern genutzt werden, gab es bereits schon. So gelang der Slingshot APT-Gruppe (Advanced Persistend Threat) durch Schwachstellen in alten Treiber eine Privilege Escalation.

Aktuelle Windows Versionen sind betroffen
Alle aktuellen Versionen von Windows sind von diesem Problem betroffen. Microsoft hat keinen Schutzmechanismus implementiert, der das Laden der anfälligen Treiber verhindert. Angreifer können sie gezielt für Zwecke der Privilegien-Eskalation installieren. Die einzige Lösung die den Nutzern bleibt, ist das regelmäßige updaten der Treiber.

Zu den betroffenen Herstellern zählen:
  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba
Quelle; tarnkappe
 

blackpet

Ist gelegentlich hier
Mitglied seit
3. Juni 2018
Beiträge
81
Reaktion auf Beiträge
32
Punkte
18
Die Liste mit den nicht betroffenen Herstellern wäre glaube ich wesentlich kürzer geworden
 

knoppel

Freak
Mitglied seit
19. Oktober 2015
Beiträge
226
Reaktion auf Beiträge
201
Punkte
43
"Aktuelle Windows Versionen sind betroffen "
Ja, welche sollen das denn sein? Nur das win10 gedös?
 
Oben Unten