Die Woche könnte mit besseren Nachrichten beginnen: Sicherheits-Experten von Eclypsium haben zahlreiche Schwachstellen – insgesamt über 40 – in Windows-Treibern gefunden, mit denen sich komplexe Angriffe auf Windows-Systeme durchführen lassen, die im schlimmsten Fall sogar eine Neuinstallation überleben.

Was ist das Risiko?
Die anfälligen Treiber können von anderen Applikationen als Proxy missbraucht werden, um so Zugriff auf nahezu alle System-Ressourcen zu erlangen, auf den Windows Kernel zuzugreifen und sogar die Firmware zu manipulieren. Letzteres ermöglicht eine Infektion mit Schadsoftware auf Hardware-Ebene, die sogar nach einer Neuinstallation von Windows aktiv bleibt.

Zur Verdeutlichung verweist Eclypsium auf das Ring-Prinzip, mit dem bei der x86-Programmierung verschiedene Berechtigungsstufen unterschieden werden. Dabei ist der Ring 0 der mit den höchsten Privilegien, für den praktisch keinerlei Einschränkungen gelten. Die Ringe 1 und 2 spielen unter Windows nur eine untergeordnete Rolle, im Ring 3 befindet man sich immer dann, wenn man im Administrator-Modus arbeitet.

Die entdeckten Schwachstellen erlauben es einem Angreifer, nicht nur einen im Ring 3 laufenden Treiber anzugreifen, sondern auf diesem Weg auch in den Ring 0 vorzudringen. Das Programm, mit dem der Angriff ausgeführt wird, benötigt dafür nicht einmal Administrator-Rechte, die stellt ja der Treiber zur Verfügung. Es muss lediglich nach dem verwundbaren Treiber suchen und ihn ansprechen. Natürlich könnte das „Angriffsprogramm“ den Treiber auch einfach selbst mitbringen, dann muss es allerdings mit Administrator-Rechten ausgeführt werden.

Wer ist betroffen?

Betroffen sind mehr als 20 Hersteller. Eclypsium hat auf seinem Blog eine Liste veröffentlicht, die aber noch nicht vollständig ist. Verschiedene Hersteller benötigen mehr Zeit, um die Schwachstellen zu analysieren und werden daher vorerst noch geheim gehalten, denn wie die Öffentlichkeit davon weiß, dann wissen natürlich auch die Hacker bescheid.

Aktuell ist bekannt, dass Treiber folgender Hersteller betroffen sind:

  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

Wir sprechen also nicht über exotische Hardware von irgendwelchen Hinterhof-Unternehmen. Unter dem Strich muss man für den Moment aber leider festhalten, dass derzeit niemand wirklich sicher sein kann, ob er von der beschriebenen Schwachstelle betroffen ist oder nicht.

Aus verständlichen Gründen gibt es bislang noch keine Detailinformationen, sodass man beispielsweise nachsehen könnte, bis zu welcher Treiber-Version die Schwachstelle enthalten ist und es schon ein Update gibt. In den falschen Händen sind diese Informationen natürlich ganz besonders gefährlich.

Wie kann man sich schützen

Hier kann man zunächst nur altbekannte Phrasen wiederholen: Haltet eure Systeme auf dem neuesten Stand und installiert immer die aktuellsten Firmware-Updates und Treiber für eure Geräte. Behaltet außerdem die Homepage des Herstellers eures PCs oder der verbauten Komponenten im Auge, damit ihr es mitbekommt, wenn dort neue Informationen veröffentlicht werden.

Microsoft wird die in Windows enthaltene Funktion HVCI (Hypervisor-enforced Code Integrity) nutzen, um anfällige Treiber zu blockieren. HVCI funktioniert allerdings nur mit Intel-CPUs ab der siebten Generation, ältere Geräte können auf diesem Weg also nicht geschützt werden. Unternehmen können außerdem Gruppenrichtlinien oder die Windows Defender Application Control benutzen, um Treiber zu blockieren – dafür müssen sie aber natürlich erst mal wissen, welche das überhaupt sind.

Die beiden Entdecker, Jesse Michael und Mickey Shkatov, haben angekündigt, auf GitHub Beispiele und auch ein Script zu veröffentlichen, mit dem jeder selbst testen kann, ob ein auf dem eigenen System installierter Treiber anfällig ist. Aktuell zeigt die bereits veröffentliche URL https://github.com/eclypsium/Screwed-Drivers aber noch ins Leere.

Die Enthüllung dieser Schwachstelle erfolgte auf der Sicherheitskonferenz DEF CON 27 in Las Vegas. Die vollständige Präsentation steht ebenfalls zum Abruf bereit. Michael und Shkatov kritisieren, dass diese Schwachstellen nicht einfach nur auf fehlerhaften Code zurückzuführen sind, sondern dass diese Anfälligkeit bei vielen Herstellern so etwas wie ein Grundprinzip bei der Treiberentwicklung sei. Dass die Treiberentwicklung noch nicht konsequent genug auf Sicherheit ausgelegt ist, könne man auch daran erkennen, dass viele der verwundbaren Treiber von Microsoft zertifiziert wurden.


Bildbericht bei DrWindows