Anfällige Treiber bedrohen Windows-Systeme

Anfällige Treiber bedrohen Windows-Systeme

Die Woche könnte mit besseren Nachrichten beginnen: Sicherheits-Experten von Eclypsium haben zahlreiche Schwachstellen – insgesamt über 40 – in Windows-Treibern gefunden, mit denen sich komplexe Angriffe auf Windows-Systeme durchführen lassen, die im schlimmsten Fall sogar eine Neuinstallation überleben.

Was ist das Risiko?

Die anfälligen Treiber können von anderen Applikationen als Proxy missbraucht werden, um so Zugriff auf nahezu alle System-Ressourcen zu erlangen, auf den Windows Kernel zuzugreifen und sogar die Firmware zu manipulieren. Letzteres ermöglicht eine Infektion mit Schadsoftware auf Hardware-Ebene, die sogar nach einer Neuinstallation von Windows aktiv bleibt.

Zur Verdeutlichung verweist Eclypsium auf das Ring-Prinzip, mit dem bei der x86-Programmierung verschiedene Berechtigungsstufen unterschieden werden. Dabei ist der Ring 0 der mit den höchsten Privilegien, für den praktisch keinerlei Einschränkungen gelten. Die Ringe 1 und 2 spielen unter Windows nur eine untergeordnete Rolle, im Ring 3 befindet man sich immer dann, wenn man im Administrator-Modus arbeitet.

Zugriffs-Ringe

Die entdeckten Schwachstellen erlauben es einem Angreifer, nicht nur einen im Ring 3 laufenden Treiber anzugreifen, sondern auf diesem Weg auch in den Ring 0 vorzudringen. Das Programm, mit dem der Angriff ausgeführt wird, benötigt dafür nicht einmal Administrator-Rechte, die stellt ja der Treiber zur Verfügung. Es muss lediglich nach dem verwundbaren Treiber suchen und ihn ansprechen. Natürlich könnte das „Angriffsprogramm“ den Treiber auch einfach selbst mitbringen, dann muss es allerdings mit Administrator-Rechten ausgeführt werden.

Wer ist betroffen?

Betroffen sind mehr als 20 Hersteller. Eclypsium hat auf seinem Blog eine Liste veröffentlicht, die aber noch nicht vollständig ist. Verschiedene Hersteller benötigen mehr Zeit, um die Schwachstellen zu analysieren und werden daher vorerst noch geheim gehalten, denn wie die Öffentlichkeit davon weiß, dann wissen natürlich auch die Hacker bescheid.

Aktuell ist bekannt, dass Treiber folgender Hersteller betroffen sind:

  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

Wir sprechen also nicht über exotische Hardware von irgendwelchen Hinterhof-Unternehmen. Unter dem Strich muss man für den Moment aber leider festhalten, dass derzeit niemand wirklich sicher sein kann, ob er von der beschriebenen Schwachstelle betroffen ist oder nicht.

Aus verständlichen Gründen gibt es bislang noch keine Detailinformationen, sodass man beispielsweise nachsehen könnte, bis zu welcher Treiber-Version die Schwachstelle enthalten ist und es schon ein Update gibt. In den falschen Händen sind diese Informationen natürlich ganz besonders gefährlich.

Wie kann man sich schützen?

Hier kann man zunächst nur altbekannte Phrasen wiederholen: Haltet eure Systeme auf dem neuesten Stand und installiert immer die aktuellsten Firmware-Updates und Treiber für eure Geräte. Behaltet außerdem die Homepage des Herstellers eures PCs oder der verbauten Komponenten im Auge, damit ihr es mitbekommt, wenn dort neue Informationen veröffentlicht werden.

Microsoft wird die in Windows enthaltene Funktion HVCI (Hypervisor-enforced Code Integrity) nutzen, um anfällige Treiber zu blockieren. HVCI funktioniert allerdings nur mit Intel-CPUs ab der siebten Generation, ältere Geräte können auf diesem Weg also nicht geschützt werden. Unternehmen können außerdem Gruppenrichtlinien oder die Windows Defender Application Control benutzen, um Treiber zu blockieren – dafür müssen sie aber natürlich erst mal wissen, welche das überhaupt sind.

Die beiden Entdecker, Jesse Michael und Mickey Shkatov, haben angekündigt, auf GitHub Beispiele und auch ein Script zu veröffentlichen, mit dem jeder selbst testen kann, ob ein auf dem eigenen System installierter Treiber anfällig ist. Aktuell zeigt die bereits veröffentliche URL https://github.com/eclypsium/Screwed-Drivers aber noch ins Leere.

Die Enthüllung dieser Schwachstelle erfolgte auf der Sicherheitskonferenz DEF CON 27 in Las Vegas. Die vollständige Präsentation steht ebenfalls zum Abruf bereit. Michael und Shkatov kritisieren, dass diese Schwachstellen nicht einfach nur auf fehlerhaften Code zurückzuführen sind, sondern dass diese Anfälligkeit bei vielen Herstellern so etwas wie ein Grundprinzip bei der Treiberentwicklung sei. Dass die Treiberentwicklung noch nicht konsequent genug auf Sicherheit ausgelegt ist, könne man auch daran erkennen, dass viele der verwundbaren Treiber von Microsoft zertifiziert wurden.

Quelle: Eclypsium

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Es geht's aber vorwiegend oder vielleicht ausschließlich - das geht nicht so genau aus dem Blog hervor - um:
    Drivers that provide access to system BIOS or system components for the purposes of updating firmware, running diagnostics, or customizing options on the component can allow attackers to turn the very tools used to manage a system into powerful threats that can escalate privileges and persist invisibly on the host.
    Solche Treiber installiert der vernünftige Nutzer, aber sowieso nicht auf produktiv genutzten Systemen, sondern allenfalls auf Testgeräten. Firmware-Updates macht man sowieso nicht aus dem laufenden Windows. Daß es ausschließlich um diese Art Treiber geht, würde auch die Herstellerliste erklären, sind das doch alles Hersteller von Mainboard, BIOS oder Hardwarekomponenten für Gamer, die derlei Funktionen mitbringen.
    Die Definition von "man" ist in diesem Fall allerdings sehr eng. Ich würde behaupten, dass diese Tools vom Großteil der Nutzer installiert und genutzt werden, weil sie bequem sind und weil die Hersteller ja auch aktiv dazu animieren, z.B. Firmware-Updates auf diesem Weg einzuspielen. Bei namhaften Herstellern hat "man" ja auch irgendwie fast blindes Vertrauen, dass die ihren Job richtig machen.
    Hier fehlen mir eindeutig weitere Informationen dazu, welche Treiber konkret betroffen sein könnten. Denn "Tools zum Firmwareupdate, Treiber zum Zugriff auf BIOS/UEFI und Diagnose- und Anpassungsfunktionen" ist schon mal im Bereich Afterburner, Wattman und Co zu verorten und betrifft den wohl eher kleineren Kreis der Powergamer und -user. Dazu dann natürlich all die anderen gern genutzten Tools der Mainboardhersteller um das Lan zu boosten und eben die Taktraten anzupassen. Stellt sich mir aber auch gleich die Frage, wie es sich mit z.B. Samsung Magician verhält - denn das führt ebenfalls Firmwareupdates durch und ändert auch tiefergehende Systemeinstellungen? Oder wie es beispielsweise um die Restart to UEFI Tools der Mainboardhersteller bestellt ist? Also wo genau die Grenze gezogen werden kann und wo man eher nicht gefährdet ist.
    Übrigens: Mein Tool ist definitiv safe, denn dessen Direktstart ins UEFI setzt auf die entsprechende Windows Funktion auf. Wobei ich mir bei den entsprechenden Herstellertools vorstellen kann (auch weil diese meist schon für Windows 7 verfügbar sind), dass diese direkt Low Level ansetzen könnten und somit ebenfalls zu den Tools gehören, die Zugriff auf Anpassungsfunktionen des UEFI haben. Dann wären diese natürlich ebenfalls eine potentielle Sicherheitslücke.
    Das Intel Management Engine Interface ist z.B. genau so eine Sache. Und das ist auf jedem Intel PC installiert, da der Treiber hierfür ja auch automatisch über Windows Update kommt.
    Intel Netzwerktreiber erlauben es auch, das Bootimage des Netzwerkadapters zu flashen. Darüber könnte man auch probieren, ein System zu kompromittieren.
    Es hätte mich gewundert, wenn Treiber keine Sicherheitslücken hätten. Es ist aber gut, wenn Lücken öffentlich gemacht werden. Das erhöht den Druck auf die Anbieter der Treiber um die Schwachstellen zu fixen.
    Dass die Treiberentwicklung noch nicht konsequent genug auf Sicherheit ausgelegt ist, könne man auch daran erkennen, dass viele der verwundbaren Treiber von Microsoft zertifiziert wurden.

    Das Microsoft Treiber zertifiziert welche Lücken haben ist ganz logisch. Auf Sicherheitslücken in Treiber kann man kaum testen, sondern nur darauf, dass die Treiber korrekt funktionieren und schon das ist mit Sicherheit ausgesprochen aufwändig.
    Was soll Microsoft auch an der Treiberzertifizierung ändern? Grundsätzlich ist das eine gute Sicherheitsfunktion, wenn nur zertifizierte Treiber installiert werden können, denn sonst könnte ein Malwareproduzent immer ohne weiteres eigene Treiber installieren. Microsoft kann kaum auf die Sicherheit dieser zertifizierten Treiber Einfluß nehmen, so mächtig sind sie dann doch nicht. Es schafft schon keiner, die Hardwarehersteller zu Treibersupport, der über die im Durchschnitt einmalige Lieferung von Treibern hinausgeht, zu bewegen. Ausschließlich im Bereich für Spielehardware gibt es überhaupt nennenswerten Treibersupport. Bei Rechnern für Geschäftskunden gibt es zwar Support, aber neue Treiber findet man auch dort eher selten. Das alles weiß natürlich auch der Blogger von Eclypsium.
    Sicherheitssupport für Hardware ist nicht im Preis einkalkuliert. Hier kann eigentlich nur der Gesetzgeber etwas bewegen. Solange aber sowohl Lücken in Software als auch Hardware nicht so Teil von Gewährleistung und Produkthaftung werden, daß die Hersteller genötigt werden, das auch umzusetzen, wird sich nichts ändern. Die üblichen Supportfristen im IT-Bereich sind angesichts der angeblichen ökologischen Probleme dieses Planeten ein Witz. Hier könnte man anders als bei grundlegenden Produktionsprozessen oder in der Infrastruktur schnell etwas tun, läßt sich aber lieber von den Lobbyfritzen belabern. Schließlich ist das alles nur Software und, daß der Support eingestellt wird, hat ja meistens nichts damit zu tun, daß sich eine Fix nicht zurückportieren ließe, sondern daß man einfach den Aufwand scheut oder es aus Prinzip nicht tut.
    Waere natuerlich schoen wenn jemand die Praesentation "auf Deutsch" erklaeren koennte. Was passiert da genau? Werden die Treiber mit "Garbage" aufgerufen und haben intern keine Checks ob die Parameter so Sinn machen?
    So wie ich es verstanden habe gibts da Treiber die dann Zugriff auf alles erlauben...
    Kennt jemand die Doku und vor allen Dingen Beispielcode von Microsoft zum Thema Treiber? Sind die auf Sicherheit ausgelegt oder hat man das Sicherheitsproblem "geerbt" wenn man Microsofts Beispielcode benutzt?
    Das allerdings mit einem abgelaufenen (!!) Zertifikat versehene Treiber noch geladen werden - ganz toll Microsoft... .
    Eindeutig Intel Management Engine und AMD Secure Technology.
    Die Intel Software Guard Extensions ist schon das Opfer von Meltdown-P (CVE-2018-3615).
    Echt starker Tobak!
    Wir hatten doch dieses Jahr schonmal so etwas Ähnliches, das ein automatischer Updater (ASUS) kompromittiert war und Schadcode geladen haben könnte. Das hier aktuell ist einige Stufen höher anzusetzen. Warten wir mal ab was konkret betroffen ist um nicht wild in der Gegend herumzuspekulieren. Auch die betroffene Patchlevel der OS und Bios/Firmwareversionen sollten erstmal bekannt sein. In Windows 10 sind doch eh schon viele Treiber aus dem ehemals Kernelmodus auf die Benutzerebene ausgelagert worden.
    Abwarten und Bier trinken...!
    Nachdem der Scheiß gefixt ist darf man sich von weiteren 30 FPS verabschieden. Irgendwann fallen die FPS unter Null. Mittlerweile wird es doch schon zur Gewohnheit.
    Und bei alten Games läuft die Intel Hyper-Threading Technology noch nicht einmal mehr im Ring 0, sodass sie im lahmarschigen Cache hinterherhängt und Performance kostet, oder gleich deaktiviert ist, zum Dank unseres guten Freundes ZombieLoad.
    Intel ist der reinste Shit!
    @KnSN
    Wer sagt das denn? Du musst ja eigentlich nur auf diese ganzen Anpassungs- und Flashtools verzichten. Dafür sind dann halt die dreimal täglich zu installierenden BIOS Updates und die zehnmal täglich angepassten Übertaktungen von CPU und GPU manuell vorzunehmen.
    Auf solche Wasserstandsmeldungen - es müssen noch mehr Sicherheitsupdates her - reagiere ich mittlerweile panisch und ich fasse das alles nur noch mit Argwohn auf. Zurecht, wenn ich mir anschaue, wie es die Performance meiner Skylake-S-Plattform bestellt ist und nicht nur meiner. Skylake-S/DT/X/W/DE/SP und Haswell-DT/E/EP/EX haben unter all den Shit nichts mehr zu lachen.
    Sucht Windows-Update eigentlich auch nach neuen Treibern und wenn ja, nach welchen. Einige meiner Geräte arbeiten mit extra heruntergeladenen Treibern, andere allerdings mit denen, die Windows 10 selbst findet.
    Windows Update sucht auch nach Treibern und diese sind praktisch für alle erdenklichen Komponenten, diese identifiziert und unterstützt werden, wenn die installierten Treiber fehlen und auf einen veralteten Stand sind.
    Das tut auch das Windows-Setup vorm und während dem Installationsvorgang, andernfalls wäre kaum etwas lauffähig.
    Dass Windows Update grundsätzlich nach einem Treiber sucht, war mir klar. Mit der Frage war gemeint, ob WU auch prüft, ob neue Treiber vorhanden sind und ob WU auch nach Treibern sucht, die durch eine externe Installatoinsroutine eingebracht wurden. Ich kann mich z.B. nicht erinnern, dass WU nach der ersten Installation noch ein mal ein Update für meine Grafikkarte geladen hatte, obwohl es bei NVIDIA neue Treiber-Software-Pakete gibt.
    Von anderen Treiberpaketen mag ich gar nicht reden. Die Treiber des Mainboards sind seit Jahren nicht aktualisiert worden und hängen oft noch im Beta-Status. Wahrscheinlich ist vor dem Final-Release die Supportzeit abgelaufen und somit wurde der Treiber so stehen gelassen, wie er war. Auch bei den Micro-Code-Updates.
    Windows holt Treiber schon immer aus dem Microsoft Update Catalog und sucht niemals bei Herstellern. Nur wenn die ihre Treiber an MS übergeben, werden die ebenfalls aus dem Update Catalog geladen. Gibt es dort aktuellere Treiber, als von Dir installiert wurden, dann installiert Windows die aus dem Update Catalog. Für als "System" eingestufte Treiber kann man das nicht verhindern, bei als "OEM" eingestuften Treibern lässt sich das unterbinden.
Nach oben