Microsoft hat zwei schwere Sicherheitslücken im Huawei PCManager für Windows gefunden, die die Ausweitung lokaler Privilegien ermöglichen. Updates stehen sei Januar 2019 bereit.
Anzeige
Im Blog-Beitrag From alert to driver vulnerability: Microsoft Defender ATP investigation unearths privilege escalation flaw hat Microsoft jetzt einige Details offen gelegt.
Schwachstelle im Huawei-Treiber
Eine Schwachstelle in einem signierten Drittanbieter-Treiber könnte schwerwiegende Auswirkungen haben. Eine solche Schwachstelle kann von Angreifern missbraucht werden, um Privilegien zu erhöhen oder, was häufiger der Fall ist, die Durchsetzung der Treibersignatur zu umgehen.
Genau eine solche Schwachstelle hat Microsoft im Huawei PCManager für Windows gefunden. Hintergrund war eine Warnung der Kernelsensoren des Microsoft Defender Advanced Threat Protection. Denn ab Windows 10, Version 1809, wurde der Kernel mit neuen Sensoren ausgestattet. Diese wurden entwickelt, um die durch einen Kernelcode initiierte Benutzer-APC-Code-Injektion zu verfolgen und so eine bessere Übersicht über Kernel-Bedrohungen wie DOUBLEPULSAR zu erhalten.
Bei der Untersuchung der oben erwähnten Warnmeldung stieß man auf einen von Huawei entwickelten Device Management Treiber HwOs2Ec10x64.sys. Die Analyse des Treibers ergab, dass dieser auf Grund eines Fehlers im Design eine Schwachstelle aufwies. Diese hätte eine lokale Eskalation von Privilegien ermöglicht.
Anzeige
Huawei stellt Update bereit
Microsoft hat dann die Schwachstelle (CVE-2019-5241) an Huawei gemeldet. Der Hersteller hat schnell und professionell reagiert und mit Microsoft zusammengearbeitet. Am 9. Januar 2019 veröffentlichte Huawei einen Fix. In diesem Blogbeitrag möchten wir unsere Reise von der Untersuchung einer Microsoft Defender ATP-Warnung über das Aufdecken einer Schwachstelle bis hin zur Zusammenarbeit mit dem Anbieter und dem Schutz von Kunden vorstellen.
Und noch ein Bug entdeckt
Bei der Untersuchung des obigen Sachverhalts, der im Detail in obigem Microsoft Blog-Beitrag beschrieben ist, stieß man auf einen weiteren Bug. Es gab einen IOCTL-Handler, der einen Eintrag zur Liste der überwachten Prozesse hinzugefügt hat. Bei der Untersuchung kam heraus, dass der Prozess MateBookService.exe wahrscheinlich diese IOCTL verwendet, um sich beim Start des Dienstes zu registrieren.
Kontrolliert ein Angreifer eine Instanz von MateBookService.exe, erhält er weiterhin Zugriff auf das Gerät \\.\HwOs2EcX64 und kann einige seiner IRP-Funktionen aufrufen. Dann könnte der angreifergesteuerte Prozess diese Fähigkeit missbrauchen, um mit dem Gerät zu kommunizieren und eine überwachte ausführbare Datei seiner Wahl zu registrieren. Die Schwachstelle CVE-2019-5242 ermöglicht es einem Angreifer, bösartigen Code auszuführen und Speicher zu lesen/zu schreiben.
Huawei schreibt in einem Advisory, dass beide Fehler bereits behoben seien. Den Anwendern wird empfohlen, den PCManager in China auf Version 9.0.1.70 und in den Überseemärkten auf 9.0.1.66 zu aktualisieren.
Der Patch wurde am 9. Januar 2019 veröffentlicht, und die Benutzer können die neueste Version des PCManager für jedes Huawei-Modell, das sie besitzen, von der offiziellen Website herunterladen. Details finden sich im Microsoft-Beitrag, Zusammenfassungen sind hier und hier zu finden. Stellt sich die Frage, wer den PCManager von Huawei (Bloatware) eigentlich einsetzt?
Anzeige
Derartige Probleme werden nie aufhören. Neue Produkte kommen mit solcher Geschwindigkeit auf den Markt, dass die Sicherheitsexperten nicht mehr Schritt halten können.
Das wissen ja auch die Hersteller und nutzen das aus. Wenn sie dann ertappt werden, haben sie irgendwelche haarsträubenden Ausreden zur Hand und bieten scheinheilig eilig Zusammenarbeit an.
Nutze diese Software natürlich – höre übrigens zum ersten mal davon – nicht. Ist nicht anders als bei den Programmdreingaben der Mainboardhersteller, wo gerade eben bei Asus Schadsoftware gefunden worden ist.
Alle diese fragwürdigen "Helferchen" von den Hardwareherstellern haben grundsätzlich auf den Maschinen der Nutzer nichts zu suchen.
'Alle diese fragwürdigen "Helferchen" von den Hardwareherstellern haben grundsätzlich auf den Maschinen der Nutzer nichts zu suchen.'
Das weisst Du, das weiss ich. Aber der Nutzer, der sein vorinstalliertes Gerät beim Discounter seiner Wahl ersteht, weiss das nicht und wird deshalb auch immer der Meinung sein, dass alles, was sich auf dem Gerät befindet, da auch hin gehört und sein muss. Aber während man bei einem Computer wenigsten (noch) eingreifen kann, sieht das beim Mobiltelefon ganz anders aus.