Forscher finden Sicherheitsmängel in 40 Kerneltreibern von 20 Anbietern

Auf der Sicherheitskonferenz DEF CON 27 in Las Vegas haben Sicherheitsforscher von Eclypsium eine Liste von Treibern veröffentlicht (PDF), die niedrigprivilegierten Anwendungen ermöglichen, legitime Treiberfunktionen zu verwenden, um bösartige Aktionen in den sensibelsten Bereichen des Windows-Betriebssystems, wie dem Windows-Kernel, auszuführen. Insgesamt können laut Eclypsium mehr als 40 Kerneltreiben von 20 verschiedenen Anbietern zur Ausführung von Kernel-Code missbracht werden.

„Es gibt eine Reihe von Hardware-Ressourcen, die normalerweise nur mit privilegierter Software wie dem Windows-Kernel zugänglich sind und vor bösartigem Lesen/Schreiben durch Userspace-Anwendungen geschützt werden müssen“, sagte Mickey Shkatov, Principal Researcher bei Eclypsium. „Der Designfehler tritt auf, wenn signierte Treiber Funktionen bereitstellen, die von Userspace-Anwendungen missbraucht werden können, um beliebiges Lesen/Schreiben dieser sensiblen Ressourcen ohne Einschränkungen oder Prüfungen von Microsoft durchzuführen“, fügte er hinzu.

Shkatov führt die von ihm entdeckten Probleme auf schlechte Codierungspraktiken zurück, die die Sicherheit nicht berücksichtigen. „Dies ist ein gängiges Anti-Pattern für das Software-Design, bei dem der Treiber nicht nur bestimmte Aufgaben erfüllt, sondern auch flexibel geschrieben ist, um beliebige Aktionen im Namen des Benutzerbereichs durchzuführen“, sagte er gegenüber ZDNet.com. „Es ist einfacher, Software zu entwickeln, indem man Treiber und Anwendungen so strukturiert, aber es öffnet das System für die Nutzung.“

Shkatov sagte, dass sein Unternehmen jeden der betroffenen Hardware-Anbieter benachrichtigt hat, deren Treiber es Userspace-Anwendungen ermöglichen, Kernel-Code auszuführen. Einige davon, wie Intel und Huawei, haben bereits Updates bereitgestellt.:

• American Megatrends International (AMI)
• Asrock
• Asus
• ATI (AMD)
• Biostar
• EVGA
• Getac
• Gigabyte
• Huawei
• Insyde
• Intel
• MSI
• Nvidia
• Phoenix Technologies
• Realtek Semiconductor
• Supermicro
• Toshiba

Nach Angaben Shkatovhabe gibt es allerdings noch weitere Anbieter mit fehlerhaften Treibern, die er zum jetzigen Zeitpunkt nicht veröffentlichen will, da einige „aufgrund besonderer Umstände zusätzliche Zeit benötigen“ und Updates in naher Zukunft erscheinen würden. Eine Liste von anfälligen Treibern will Eclypsium auf Github veröffentlichen.

„Um anfällige Treiber ausnutzen zu können, müsste ein Angreifer den Computer bereits komprommitiert haben“, sagte Microsoft in einer Erklärung. „Um diese Art von Problemen zu beheben, empfiehlt Microsoft Kunden, Windows Defender Application Control zu verwenden, um bekannte anfällige Software und Treiber zu blockieren. Kunden können sich noch besser schützen, indem sie die Speicherintegrität für leistungsfähige Geräte in Windows Security einschalten“.

Allerdings weist Eclypsium darauf hin, dass der Angriffsvektor auf Basis fehlerhafter Treiber bereits ausgenutzt werde. „Es gibt mehrere Beispiele für Angriffe in freier Wildbahn, die diese Klasse von gefährdeten Treibern nutzen. Beispielsweise installiert die Slingshot APT-Kampagne ein Kernel-Rootkit, indem sie Treiber mit Lese-/Schreib-MSR-Funktionen ausnutzt, um die Treibersignatur zu umgehen. Und die jüngste LoJax-Malware missbrauchte ähnliche Treiberfunktionen, um bösartige Implantate innerhalb der Firmware eines betroffenen Geräts zu installieren, und blieb auch bei einer vollständigen Neuinstallation des Betriebssystems bestehen.

Prinzipiell sind sämtliche Windows-Versionen laut Eclypsium von der Problematik betroffen. „Es gibt derzeit keinen universellen Mechanismus, um einen Windows-Rechner davon abzuhalten, einen dieser bekannten schlechten Treiber zu laden. Die Implementierung von Gruppenrichtlinien und anderen Funktionen, die speziell für Windows Pro, Windows Enterprise und Windows Server gelten, kann für eine Teilmenge von Benutzern einen gewissen Schutz bieten. Einmal installiert, können diese Treiber über einen längeren Zeitraum auf einem Gerät verbleiben, sofern sie nicht speziell aktualisiert oder deinstalliert wurden. Zusätzlich zu den Treibern, die bereits auf dem System installiert sind, kann Malware jeden dieser Treiber mitbringen, um eine Privilegienerweiterung durchzuführen und direkten Zugriff auf die Hardware zu erhalten.“, teilt Eclypsium im Firmen-Blog mit.

Microsoft will laut Eclypsium die HVCI-Funktion (Hypervisor-enforced Code Integrity) nutzen, um entsprechende Treiber eauf eine schwarze Liste zu setzen. Allerdings steht HVCI nur bei Intel-CPUs der 7. Generation und höher zur Verfügung. Darüber hinaus sollten Unternehmen ihre PCs auf aktuelle Firmware und Treiber hin untersuchen und gegebenenfalls ein Updatedurchführen, um derartige Angriffe abzuwehren.