Auf der diesjährigen DEF CON-Konferenz in Las Vegas teilten Forscher des Cybersicherheitsunternehmens Eclypsium ihre Erkenntnisse mit, wonach mehr als 40 verschiedene Treiber von 20 Hardwareanbietern schlechten Code enthielten, der für eine Eskalation von Privilegienangriffen ausgenutzt werden könnte. Noch besorgniserregender war, dass alle diese Treiber von Microsoft zertifiziert wurden.
Die Liste der betroffenen Unternehmen umfasst große BIOS-Anbieter sowie Hardware-Hersteller wie ASUS, Huawei, Intel, NVIDIA und Toshiba. Eclypsium warnte auch davor, dass diese Treiber alle Versionen von betrafen WindowsDies bedeutet, dass Millionen von Benutzern einem Risiko ausgesetzt sein könnten.
Das Risiko, das solche Treiber darstellen, besteht darin, dass sie einer böswilligen Anwendung auf Benutzerebene ermöglichen, Kernel-Berechtigungen zu erlangen, wodurch ein direkter Zugriff auf Firmware und die Hardware selbst möglich wird. Dies kann auch bedeuten, dass die Malware direkt in die Firmware installiert werden kann und daher eine Neuinstallation des Betriebssystems nicht ausreicht, um sie zu entfernen.
Eclypsium erklärt die Funktionsweise dieser Sicherheitsanfälligkeiten wie folgt:
All diese Sicherheitsanfälligkeiten ermöglichen es dem Treiber, als Proxy zu fungieren, um einen hochprivilegierten Zugriff auf die Hardwareressourcen durchzuführen, z. B. Lese- und Schreibzugriff auf den Prozessor- und Chipsatz-E / A-Bereich, modellspezifische Register (MSR), Steuerregister (CR) und Debugging Register (DR), physischer Speicher und virtueller Kernelspeicher. Dies ist eine erweiterte Berechtigung, da ein Angreifer vom Benutzermodus (Ring 3) in den Betriebssystemkernelmodus (Ring 0) versetzt werden kann. Das Konzept der Schutzringe ist in der folgenden Abbildung zusammengefasst, in der jedem Innenring nach und nach mehr Berechtigungen gewährt werden. Es ist wichtig zu beachten, dass auch Administratoren neben anderen Benutzern am Ring 3 (und nicht tiefer) arbeiten. Der Zugriff auf den Kernel kann einem Angreifer nicht nur den privilegiertesten Zugriff auf das Betriebssystem gewähren, sondern auch Zugriff auf die Hardware- und Firmware-Schnittstellen mit noch höheren Privilegien wie der System-BIOS-Firmware gewähren.
Da Treiber häufig das eigentliche Mittel zum Aktualisieren der Firmware sind, "bietet der Treiber nicht nur die erforderlichen Berechtigungen, sondern auch den Mechanismus zum Vornehmen von Änderungen", bemerkte Eclypsium. Wenn auf dem System bereits ein anfälliger Treiber vorhanden ist, muss eine böswillige Anwendung nur danach suchen, um die Berechtigungen zu erhöhen. Wenn der Treiber jedoch nicht vorhanden ist, könnte eine böswillige Anwendung den Treiber mit sich bringen, die Installation der Treiber erfordert jedoch die Genehmigung des Administrators.
In einer Erklärung gegenüber ZDNet erklärte Mickey Shkatov, Principal Researcher bei Eclypsium, dass "Microsoft seine HVCI-Funktion (Hypervisor-enforced Code Integrity) nutzen wird, um Treiber, die an sie gemeldet werden, auf die schwarze Liste zu setzen." Die Funktion ist jedoch nur auf Intel-Prozessoren der 7. Generation und höher verfügbar. Daher müssen die Treiber bei älteren CPUs oder sogar neueren CPUs, bei denen HCVI deaktiviert ist, manuell deinstalliert werden.
Microsoft stellte weiter klar: "Um anfällige Treiber auszunutzen, müsste ein Angreifer den Computer bereits kompromittiert haben." Hierbei handelt es sich jedoch um die Tatsache, dass ein Angreifer, der das System auf Ring 3 in der obigen Darstellung der Berechtigungsstufen kompromittiert hat, Kernelzugriff erhalten könnte.
Um sich vor schlechten Treibern zu schützen, rät Microsoft den Benutzern, "Windows Defender Application Control zum Blockieren bekannter gefährdeter Software und Treiber. "Außerdem heißt es:" Kunden können sich weiter schützen, indem sie die Speicherintegrität für fähige Geräte in aktivieren Windows Sicherheit."
Eclypsium hat eine vollständige Liste aller Anbieter, die ihre Treiber in ihrem Blogbeitrag zu diesem Thema bereits aktualisiert haben. Einige der betroffenen Anbieter wurden jedoch noch nicht benannt, da sie noch an der Bereitstellung von Korrekturen arbeiten. Die Forscher werden später auch eine Liste der betroffenen Treiber und ihrer Hashes auf GitHub hochladen, damit Benutzer sie manuell deaktivieren können, wenn sie sie auf ihrem Gerät haben.
Quelle: Eclypsium über ZDNet
