[English]Der Hersteller Realtek hat eine DLL Hijacking-Schwachstelle in seinem HD Audiotreiber-Paket geschlossen. Hier einige Informationen zu diesem Thema.
Anzeige
Ich finde das ganze ja einen äußerst spannende Geschichte, da ich hier im Blog ja gelegentlich auf DLL-Hijacking-Schwachstellen in Software hinweise.
Schwachstelle im Realtek-Audiotreiber-Paket
Ich bin über Bleeping Computer auf das Thema gestoßen. Peleg Hadar hat die DLL-Hijacking-Schwachstelle gefunden und weist in diesem Tweet nun auf das Problem hin.
CVE-2019-19705 – A vulnerability which I found in Realtek's Driver package for Windows, which affects a lot of PC users:https://t.co/5MpYix6t7o
— Peleg Hadar (@peleghd) February 4, 2020
In diesem Artikel beschreibt Hadar die von SafeBreach Labs gefundene Schwachstelle CVE-2019-19705. Hadar benutzte dabei seine von ihm entwickelte Wächter-DLLs und stellte fest, dass die MFC-Anwendung RAVBg64.exe (gehört zu Realtek) DLLs nachlädt, ohne deren Pfad zu berücksichtigen. So würde eine fehlende (System-)DLL von Windows aus dem aktuellen Arbeitsverzeichnis nachgeladen.
Anzeige
Konkret versucht der HD-Audio-Hintergrundprozess, der als NT AUTHORITY\SYSTEM läuft, die RAVBg64ENU.dll und die RAVBg64LOC.dll aus dem Arbeitsverzeichnis
C:\Program Files\Realtek\Audio\HDA\
zu importieren, obwohl die DLLs dort nicht zu finden sind. Ein Angreifer mit entsprechenden Berechtigungen könnte damit eigene Dateien diesen Namens in diesem Ordner ablegen. Diese würde vom HD-Audio-Hintergrundprozess geladen und würden es erlauben, Malware persistent im System zu verankern.
Schwachstelle gefixt, alte Treiberpakete als Problem
Die Schwachstelle wurde Realtek am 10. Juli 2019 gemeldet, und am 13. Dezember 2019 mit einem Patch geschlossen. Der Fix findet sich im Realtek HD-Audio-Treiberpaket ver.8857 oder neuer. Treiberversionen vor 8855, die mit Microsoft Visual Studio 2005 (VS2005) erstellt wurden, sind immer noch anfällig für Angriffe.
Ich habe beim Schreiben des Beitrags diesen Kommentar von Blog-Leser 1ST1 gesehen, der auf ein gravierendes Problem hinweist:
Das blöde ist nur, auf www.realtek.com und realtek-downloads.com findet man nur HD-Audio-Treiber aus dem Jahr 2017 und 18, aber nichts aus dem Dezember 2019. Und die haben andere Versionsnummern: 2.xx, und nixda mit 88xx…
Darüber beschweren sich die Leute auch hier https://www.tenforums.com/sound-audio/135259-latest-realtek-hd-audio-driver-version-2-a-145.html und bieten noch neuere Treiber, der neueste ist 8888.1 über Downloadlinks in der Mangenta-Cloud an. Vertrauensvoll finde ich das aber nicht…
Vielleicht findet man diese neueren Versionen auch auf Webseiten von Mainboardherstellern (ASUS, MSI, Gigabyte, …), aber dafür müsste man Realtek echt mal in den Hintern treten.
Damit ist der Punkt ausreichend umschrieben. Vielleicht ist das ja für den einen oder anderen Leser hilfreich.
Anzeige
"Der Hersteller Realtek hat eine DLL Hijacking-Schwachstelle in seinem HD Auditreiber-Paket geschlossen."
Den Auditreiber sollten alle Audi-Fahrer sofort installieren …
… hmm, geht das auch während der Fahrt – kann der das der Audi…? ;)
:D
@ h.v. ja geht , aber dann einmal neustarten, dann kommt der audi erst richtig in fahrt. ;-)
Aktuelle Realtek Treiber zu finden ist doch schon länger ein Graus.
Aktualisierungen werden doch nur noch an die MoBo Hersteller weiter gegeben und die haben Zeit, wenn sie denn überhaupt mal mit einer Aktualisierung um die Ecke kommen.
ASrock ist z.Z. noch bei Version 8668 und die kamen erst im JAN 2020 raus!
Moment mal. MS stellt doch die Treiber zu Verfügung.
https://www.catalog.update.microsoft.com/Search.aspx?q=6.0.8844.1
Hay Alitai,
thx für Hinweis.
Allerdings wird auf Bleeping Computer auch darauf hingewiesen. "Realtek fixed the issue in the HD Audio driver package ver.8857 or newer".
Somit wäre aus dem UpdateKatalog, von MS, nur ab Windows 10 1903 der fix verfügbar.
https://www.catalog.update.microsoft.com/Search.aspx?q=6.0.8855.1
Nein, der 8858 siehe weiter unten Post vom 5. Februar 2020 um 14:13. Danke
Das ist aber Version 8844 vom November 2019. Gesucht wird mindestens 8856 vom Dezember.
Wir wissen doch, dass die Kollegen bei MS nicht die schnellsten sind. ;)
Kann es sein das dies der originale FTP Server von Realtek ist?
ftp3.realtek.com
Ich werde sonst mal bei Realtek anfragen.
Gruss
Alitai
Hier gibts den 8858
https://www.catalog.update.microsoft.com/Search.aspx?q=Realtek%20Semiconductor%20Corp.%20-%20MEDIA%20-%206.0.8858.1
Guter Witz: Ganze 14 Varianten für 10er-Windowse. Aber sonst nix.
Dass man von MS noch was für Win7 bekommt, hätte ich gar nicht verlangt, aber meines Wissens ist Win8.1 bei denen eigentlich noch nicht aus dem Support gefallen.
Am 03. 02. 2020 habe von der Realtek Webseite den Treiber mit der Versions Nr.
6.0.1.8186 heruntergeladen und installiert. Kann mir bitte ein Blog Teilnehmer
sagen, ob diese Version sicher oder unsicher ist ? Ich bedanke mich schon im Voraus
Download-Link?
Im Artikel oben steht: "Treiberversionen vor 8855, … sind immer noch anfällig für Angriffe. ". Und deine 8186 ist vor 8855.
://www.station-drivers.com/index.php?option=com_remository&Itemid=352&func=startdown&id=4271&lang=en
die seite ist ne spende wert! das nebenbei!
Realtek High Definition Audio (HDA) R2.8x (8862.1) WHQL
300MB, der "echte / komplette" audio treiber..
bei manchen alten intel chipsätzen funzt der nicht, da… eh..
"Microsoft UAA Driver" (uralt)
enthalten sein muss…
bei aktuellen boards ziehe ich den "echten" treiber immer vor. der UWP treiber (die 30mb app) ist einfach shice! bei dem 10mb ms treiber fehlt der audio manager..
lg!
Siehe unten von mir, auch bei Computerbase.
Der ist vom 17.12.2019, außerdem inoffiziell (Officiel: non). Wer den Treiber wegen Sicherheitsbedenken austauschen will/muss, verlässt sich nicht auf solche Quellen.
richtig, danke, aber ich dachte… (weil das was von Januar 2020 steht?!).
Bei Realtek findet man nur nach anstrengenden Suchen und dann …?
Ich bin wieder zurück und jetzt geht es wieder.
auf der seite findest du intel ME / CSME updates (critical 9.8) die du auf herstellerseiten lange suchen kannst, insbesondere wenns um ältere hardware geht.
quellen der firmwareupdates (hersteller-links) sind angegeben, ein me-update von hp funzt auch bei nem medion (lenovo) u.s.w.
für mein board gibts seit 6 monaten auch keine hdaudio updates mehr, daher hab ich den verlinkten in meinem "zweitsystem windows" installiert.
und wegen vertrauen… ….
sage mir was eine (versteckte) desktop.ini (eigentlich eine windows datei) im archiv für folgendes BIOS-UPDATE:
ps://download.msi.com/bos_exe/mb/7C02v18.zip
mit folgendem inhalt:
[ShellClassInfo]
ConfirmFileOp=0
IconResource=C:\Program Files\Google\Drive File Stream\31.0.19.0\GoogleDriveFS.exe,21
zu suchen hat!! bitte!
nach diesem super seriösen bios update wird aus 7C02 E7C02, und eine rückkehr zu einem "non-E" bios ist nicht mehr möglich.. verschwörungstheorie?!?.. blabla
und schau dich mal in "offiziellen" realtek paketen um.
ich sehe das kritisch!
Solche Beiträge muss man einfach grün klicken!
Ich habe jetzt mal versucht, was neues zu installieren – funktioniert nicht.
Ich habe wieder den alten installiert und lasse es so.
Die von MS angebotenen funktionieren nicht immer und sollten auch bei Umstellung Win7 – Win10 dann installiert werden. Das hat er aber bei mir nicht. Ich habe jetzt wieder einen aus 2016 installiert der vom PC-Hersteller angeboten wird und so funtioniert es auch.
Es gibt bei Computerbase diese Seite:
https://www.computerbase.de/downloads/treiber/soundkarten/realtek-hd-audio-treiber/
Ich bin aber wieder zurückgegangen, weil es nicht funktioniert. Es hängt wohl auch vom PC-System ab.
Die bei Computerbase sind alle von 2018 und früher, nützt also alles nichts.
Nutzt eh nix, die sind ja alle kleine 8857.
"bei manchen alten intel chipsätzen (z.b. B75!!) funzt [es] nicht, da…
"Microsoft UAA Driver" (uralt)
enthalten sein muss…"
evtl., da man den (beim b75) separat laden kann, kann man sich ein aktuelles treiberpaket das auch funzt, selbst bauen..
AUTSCH!
Diese Schwachstelle kann nur von einem Benutzer mit Administratorrechten ausgenutzt werden. Dieser Peleg Hadar "findet" seit etwa einem Jahr immer wieder solche Schwachstellen, die KEINE Sicherheitslücken sind.
Andererseits ist das Nachladen von DLLs ohne Angabe des Pfadnamens natürlich ein BLUTIGER Anfängerfehler resp. eine SCHLAMPEREI, die der Hersteller beheben muss!
JFTR: "C:\Program Files\Realtek\Audio\HDA\" ist das ANWENDUNGS-Verzeichnis, NICHT das Arbeitsverzeichnis alias C(urrent)W(working)D(irectory)!
Letzteres kann ein Angreifer NICHT vorgeben, sondern nur der Aufrufer des Dienstes … und der hat bereits SYSTEM-Rechte.
Ich hoffe ich kann euch helfen da ich in meinen alten PC eine ältere Realtek Sounkarte verbaut ist kannte ich das Probelem mit finden aktueller Realthek Treiber für die Soundkarte da wie gesagt auf der der Seite https://www.realtek.com/en/component/zoo/category/pc-audio-codecs-high-definition-audio-codecs-software nur veraltet Treiber angeboten werden.
Hab ich mich vor 1 Jahr mal auf die Suche gemacht und bin auf dieser Seite https://forum.lowyat.net/topic/658002
gestoßen die noch aktuelle Soundtreiber von Realthek anbieten voher diese stammen weis ich nicht hatte noch nie Probleme mit den Soundtreiber von der Webseite
Angebote werden regelmaßig Neue Realtek WHQL HD Audio Driver
Manschmal auch Beta Treiber , Universal Audio Driver
Aktueller Realtek WHQL HD Audio Driver ist
Version 6.0.8882.1 von 15.01.2020
Aktueller Realtek WHQL (Test) Universal Audio Driver ist
Version 6.0.8885.1 von 21.01.2020
zu finden auf https://forum.lowyat.net/topic/658002/+1480
Neue Treiber werden immer in einen neuen separaten Post veröfentlicht.
Die nehmen es auch nur von ftp3.realtek.com.
Habe die Frage oben schon gestellt ist der Vertrauenswürdig?
beziehe reglemaßig die neusten Treiber von der Seite hatte noch keine Probleme.
Die Seite bezieht die Treiber von https://github.com/alanfox2000/realtek-hda-release/releases
Der alanfox2000 bezieht die Treiber von Realtek FTP Server.
da die Treiber vom FTP Server von Realtek stammen und die Treiber WQHL siegniert sind, sind sie für mich Vertrauenswürdig.
Die Frage ist nun was verstehen sie unter Vertrauenswürdig?
https://github.com/alanfox2000/realtek-hda-release
Genau und dort steht:
File Source: Realtek Semiconductor Corp. (ftp://ftp3.realtek.com)
so und damit zurück zur Frage. Ist das ein vertrauenswürdiger FTP Server von Realtek?
Weil Benutzername und PW sind öffentlich bekannt.
Dann könnten wir dort die Dateien in Zukunft direkt runterladen.
Danke
Gruss
Alitai
ich glaube die Frage mit den Vertrauenswürdig muss du Realtek stellen aber wass sollen die sagen wie betreiben zwar einen ftp Server für unsere Treiber aber Vertrauenwürdig ist der nicht.
Ich glaube wie drehen uns bei deiner Frage im Kreis
Ob der Server für einen Vertrauenwürdigt ist muss jeder für sich selbst beantworten.
Realtek HD Audio Driver 6.0.8882.1 WHQL
https://forum.lowyat.net/topic/658002/+1480
Hier auch wieder. Sieht einfach nicht Vertrauenswürdig aus.
RealTek sind doch nur Waisenknaben.
Nicht nur Microsoft verbricht VIEL hübschere "Sicherheitslücken" solchen Kalibers (und das gleich im Dutzend), beispielsweise folgende, seit 14 Jahren offene Schwachstelle: der unter SYSTEM-Konto laufende Dienst bfsvc.exe (der den Boot-Manager installiert/repariert/aktualisiert und den BCD schreibt) lädt u.a. VERSION.dll aus C:Windows statt aus C:WindowsSystem32
Soll ich mit Mozilla weitermachen? Deren mit Firefox und Thunderbird installierter und unter SYSTEM-Konto laufender Updater hat nicht nur diese, sondern noch einige weitere Schwachstellen.
Alternativ der Google-Updater, der mit Chrome (oder Chromium-Edge) installiert wird und unter SYSTEM-Konto läuft.
Nicht zu vergessen der Updater für Adobe Flash oder Acrobat, …
Richtig. ich weiß auch nicht woher das immer kommt. Irgendwer hat irgendwo was entdeckt und dann ein PC über Audio zu kompromittieren, geht nicht so einfach. Das hängt auch vom PC-System ab.
Das was Du beschreibst mit den anderen Programmen ist mir als Laie auch schon aufgefallen.
Schön dass der Spezialist hier mitliest… Microsoft gehört auch gehörig in den Hintern getreten… Man soll ja schön Applocker bzw. SRP/Safer benutzen, damit nichts gestartet werden kann was nicht vom admin installiert wurde, und das Tier-Modell einführen, um lokale Admin-Accounts in ihrer Reichweite zu begrenzen. Normale Benutzeraccounts ohne lokale Admin-Rechte, wenns sein muss zusätzlicher lokaler Admin-Account, und so… Dazu gehört natürlich auch, dass Admins nicht online gehen dürfen. Versuch mal unter diesen Bedingungen ein MS-Visual Studio 2019 zu benutzen… Da trudeln täglich Updates ein, die ohne Admin-Rechte nicht installiert werden können… Übrigens, in WSUS ist bei Visual Studio 2015 schluss, neuere kommen darüber nicht mehr. Oder anderes Beispiel, MS-Teams, was ja jetzt alle haben wollen und müssen (weil es Skype for Business ablösen soll), das installiert seine Files mal gerade eben unter %userhome%\appdata\…\update.exe Wunderbar! Eine EXE-Datei in einem vom Benutzer beschreibbaren Ordner. Emotet freut sich sicher schon… OneDrive macht das übrigens auch so! Ok, so wird OneDrive wenigstens wirksam vom Applocker geblockt. Aber Teams WILL man ja haben! Wenigstens kann man aber mit Applocker auch anhand Herstellerzertifikat, Anwendungsname, Version freigeben, aber wer die SRP nutzt, hat da keine Chance! Man könnte dem Nadella mal die Finger um den Hals legen und…
Zu SRPv1: das kann selbstverständlich auch anhand von Zertifikaten blockieren oder zulassen!
Abgesehen davon: Teams will NIEMAND bei klarem Verstand einsetzen.
Zu VisualStudio: das ist nur was für Weicheier!
Compiler, Linker, NMake, RC, MC und SignTool genügen völlig, und sie funktionieren ganz ohne GUI und auch ohne dieses BESCHEUERTE und UNSICHERE .NET-Framework!
Doch, die wollen das… :-( *alternativlos*
Falsch: HIRN-los!
Erkennungsmerkmal: installiert Teams lokal.
Leute mit wenigen Hirnzellen nutzen diesen SCHROTT im Web-Browser, wo er nicht die enorme Angriffsfläche einer lokalen Installations bietet.
Und Leute mit intaktem Hirn nutzen sowas GAR NICHT!
Wehret den Lemmingen!
Bei einer Windows 10 Neuinstallation vom 15.01. 2020 dürfte man wohl bereits den gepatchten Realtek-Audiotreiber übers Windows Update erhalten haben.
Wenn mir jemand antworten könnte, nach welcher Datei man da am besten sucht und welche Versionsnummer sie mindestens haben sollte, wäre ich dankbar.
Ein Realtek Treiberpaket habe ich nicht installiert, sondern es dabei belassen, was Windows eingerichtet hat. Audio funktioniert fehlerfrei und das reicht mir.
Meistens nutze ich HDMI Audio und das kommt bei mir von AMD.
Schau im Gerätemanager einfach unter "Audio, Video Gamecontroller" den Treiber für "Realtek High Definition Audio" nach. Unter Rechtsklick >>> Treiber findest du die aktuell installierte Treiber Version.
Schau mal im Geräte Manager unter "Audio, Video und Gamecontroller" und dann "Realtek High Definition Audio".
"Eigenschaften" dann "Treiber" und dann poste mal die Treiberversion.
Zusätzlich unter "Details" noch die "Hardware-ID".
Danke
Gruss
Alitai
"Realtek High Definition Audio" ist nicht im Gerätemanager aufgeführt.
Dafür steht "High Definition Audio Gerät"
Treiberversion: 10.0.18362.356
https://abload.de/image.php?img=audioogkut.jpg
Das Mainboard hat einen Realtek ALC 892 Chip.
Ich lese gerade weiter unten:
"Du verwendest den Treiber namens "High Definition Audio Device" also der von Microsoft und nicht den von Realtek. Kann man auch machen. Dann bist du nicht betroffen."
Dann ist alles klar :)
.
Freut mich!
Um bei dem ganzen Chaos um die Download-Seiten des neuen Realtek-Treibers für (etwas) Klarheit zu sorgen: dieser wird u.a. bei HP bei den EliteBooks/ProBooks angeboten werden, da diese ohnehin regelmäßige Treiberupdates bekommen (haben).
Dann könnte man einfach das Setup herunterladen und die .exe von dem HP-Treiber entpacken und die Hardware-IDs vergleichen => somit wäre der Treiber auch auf anderen (möglicherweise) nicht HP-Plattformen einsetzbar.
Habe die Realtek Sound Hardware S1220 auf dem Motherboard verlötet.
HardwareID:
HDAUDIO\FUNC_01&VEN_10EC&DEV_1220&SUBSYS_10438735&REV_1000 und HDAUDIO\FUNC_01&VEN_10EC&DEV_1220&SUBSYS_10438735.
Mit Treiber R2.82 von der Realtek Seite gab es unter Windows 8.1 Pro x64 immer wieder Fehlermeldungen das AUDIODG.EXE im Modul NAHIMICV3apo.dll eine Speicherzugriffsverletzung erzeugt. Habe danach den Realtek eigenen Treiber wieder deinstalliert.
Der zum Bord zugehörige Treiber von ASUS sorgt über zu viele Zusatzfunktionen dafür das verschiedene Ältere PC Spiele gar nicht mehr starten. Zusätzlich hat der Kopfhöhenverstärker die Angewohnheit sich immer wieder auf die Höchste stufe zu stellen wenn eine Aktivbox angeschlossen wird. Das führt dann zum Übersteuern des Audioverstärkers im Gerät. Manuelle einstellungen werden nach dem Neustart immer wieder zurückgesetzt.
Momentan läuft Version 6.3.9600.19452 vom 06.08.2019. Der stammt von Windowsupdate. Er macht keine Probleme. Das fehlen vom HDA stört mich nicht.
Alles klar.
Du verwendest den Treiber namens "High Definition Audio Device" also der von Microsoft und nicht den von Realtek. Kann man auch machen. Dann bist du nicht betroffen.
Ich habe den jetzt auch genommen, da es für meinen Laptop den Treiber der die Lücke fixen soll gar nicht mehr gibt (Wird nicht mehr supported).
Gruss
Alitai
eine auflistung von us-patenten bezüglich dem (realtek) ethernet controller ist, was man bei intel und amd gleichermaßen findet, wenn überhaupt. ein punkt der mir bei amd wirklich auf den zeiger geht. meine erfahrung ist, der braucht jetzt 1 2 sekunden mehr zum booten, dafür ist die eingestellte "bootreihenfolge" nun (erst jetzt) stabil. warum wird das bei amd nie erwähnt (sicherheit)?!
da verkommt es fast zur nebensache, wenn noch andere patentinhaber (asmedia, nuvoton, fresco logic u.s.w.) auf der eigentümlichen hardware vertreten sind.
abschließend ein auszug von lspci:
28:00.0 Non-Essential Instrumentation [1300]: Advanced Micro Devices, Inc. [AMD] Zeppelin/Raven/Raven2 PCIe Dummy Function
28:00.2 Encryption controller: Advanced Micro Devices, Inc. [AMD] Family 17h (Models 00h-0fh) Platform Security Processor
reicht..
Habe bei Windows 7 über den Gerätemanger nach einer neuen Version suchen lasse.
Es wurde ein alte Version von 2013 installiert.Super!
Autohersteller wären wahrschienlich schon verklagt worden.
Bei MSI findet man z.B. bei Mainboards mit B450 und X570 Chipsatz den Realtek HD Universal Driver in der Version 6.0.8858.1.
legacy Realtek HDA (non-DCH / non-UAD) 6.0.8881.1 drivers from Lenovo:
https://pcsupport.lenovo.com/us/en/downloads/DS120702
https://pcsupport.lenovo.com/us/en/downloads/DS120664
legacy Realtek HDA (non-DCH / non-UAD) 6.0.8858.1 driver from ASUS:
https://dlcdnets.asus.com/pub/ASUS/nb/DriversForWin10/Audio/Audio_Realtek_Win10_64_VER6088581_Logo.zip
legacy Realtek HDA (non-DCH / non-UAD) 6.0.9066.1 non-generic driver from Fujitsu (released 3/03/2021):
https://support.ts.fujitsu.com/IndexDownload.asp?SoftwareGuid=C13A8DD0-1BB7-49F6-9AB0-35A78DDCFFAA
for certain Fujitsu systems only
R.I.P. ftp3.realtek.com > ftp site no longer working in mid-2021