[English]Benutzer von Dell-Systemen sind immer noch der Gefahr ausgesetzt, dass ihre Windows-Systeme über Dell-Treiber durch Kernelangriffe kompromittiert werden. Das Problem sollte bereits im Mai 2021 durch Updates gefixt werden. Sicherheitsforscher von Rapid7 schlagen jetzt aber Alarm, dass diese Sicherheitsupdates nicht alle Schwachstellen geschlossen haben. Es sind zwar Administrator-Privilegien erforderlich, um die Treiber zu installieren. Aber es sieht so aus, als ob dieser Ansatz von Cyber-Gangs für Angriffe genutzt wird. Im Business-Umfeld gibt es aber Gegenmaßnahmen.
Anzeige
Dell Treiberschwachstellen CVE-2021-21551
Im Mai 2021 hatte ich im Blog-Beitrag Windows-Treiber mit Schwachstellen (CVE-2021-21551) gefährdet Millionen Dell-Systeme über ein Sicherheitsproblem mit dem Dell-Treiber dbutil_2_3.sys für Windows berichtet. In einem Treiber, der die letzten 12 Jahre auf Millionen Windows-Systemen von Dell im Consumer- und Unternehmensbereich installiert wurde, haben Sicherheitsforscher mehrere Schwachstellen entdeckt. Diese Schwachstellen besitzen einen Schweregrad 8 (von 10) und ermöglichen es einem Angreifer eine Privilegien-Erhöhung durchzuführen.
Durch die Schwachstelle (CVE-2021-21551) im sogenannten DBUtil-Windows-Treiber von Dell waren PCs, All-in-One- und 2-in-1-Systeme, die diesen Treiber verwenden, sicherheitstechnisch gefährdet. Dell hatte dazu eine Sicherheitswarnung DSA-2021-088: Dell Client Platform Security Update for an Insufficient Access Control Vulnerability in the Dell dbutil Driver sowie diese FAQ herausgegeben.
Die Treiberdatei kann praktisch auf jedem Dell-System mit Windows-Betriebssystem installiert worden sein, sobald die Firmware-Update-Utility-Pakete, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent oder Dell Platform Tags verwendet wurden. Dell hatte dann diesen Treiber aktualisiert (siehe DSA-2021-088), um die Schwachstellen zu beseitigen – so war mein Stand.
Treiber können weiter missbraucht werden
Sicherheitsforscher von Rapid 7 haben bereits am 13. Dezember 2021 in diesem Beitrag drauf hingewiesen, dass viele Cyberkriminelle Windows-Treiber für ihre Zwecke missbrauchen, um Malware in Systeme einzuschleusen. Dies wird als Bring Your Own Vulnerable Driver-Angriffsmethode (BYOVD) bezeichnet. Bei dieser Angriffstechnik versuchen die Angreifer den Benutzer dazu zu verleiten, einen legitimen, aber anfälligen Treiber auf einem Zielcomputer zu installieren. Über diesen angreifbaren Treiber versuchen die Angreifer eine Privilegienausweitung unter Windows und dann Code auf dem Zielsystem einzuschleusen.
Anzeige
Nun ist den Kollegen von Bleeping Computer aufgefallen, dass Rapid 7 angibt, dass die Treiberschwachstellen CVE-2021-21551 in dbutil_2_3.sys auch in neueren Dell-Treiberversionen ausnutzbar seien. Die Sicherheitsforscher von Rapid 7 haben ein Metasploit-Modul entwickelt, das den LSA-Schutz-Angriff unter Verwendung der neuen Dell-Treiber (dbutildrv2.sys 2.5 und 2.7) implementiert. Ein Angreifer mit erweiterten Rechten kann das Modul verwenden, um den Prozessschutz für eine beliebige PID zu aktivieren oder zu deaktivieren.
Die Dell-Treiber sind für Angreifer besonders wertvoll, da sie mit den neuesten Signierungsanforderungen von Microsoft kompatibel sind. Die Wahrscheinlichkeit, dass Dell-Treiber für Windows auf eine Blockierliste (Blacklist) gesetzt werden, ist eher gering. Denn die Treiber werden für die Aktualisierung der Firmware für eine große Anzahl von Produkten verwendet. Benutzer daran zu hindern, die Firmware ihrer Computer durch Blockieren von Treibern zu aktualisieren, ist nicht sinnvoll. Inzwischen verwendet Malware, laut Rapid 7, diese Dell-Treiber für Angriffe. Als Dell von Rapid 7 kontaktiert wurde, kam folgende Antwort zurück:
Nach sorgfältiger Abwägung mit dem Produktteam haben wir dieses Problem als Schwachstelle und nicht als Sicherheitsrisiko eingestuft, da für die Durchführung eines Angriffs eine bestimmte Berechtigungsstufe erforderlich ist. Dies steht im Einklang mit den im Windows-Treibermodell enthaltenen Hinweisen. Wir haben nicht vor, einen Sicherheitshinweis zu veröffentlichen oder ein CVE zu diesem Problem herauszugeben.
Es stimmt zwar, dass die Treiberinstallation Administratorechte erfordert. Aber dann kann ein Angreifer auch über den Treiber den Kernel angreifen und ggf. Root-Kits etc. installieren. Gegenmittel wäre das Blockieren der Installation der betreffenden Treiber über Driver block rules – aber die Dell-Treiber sind aktuell in der Liste nicht aufgeführt (Dell arbeitet mit Microsoft aber daran). Wer die Möglichkeit hat, Hypervisor-Protected Code Integrity (HVCI) zu aktivieren, sollte dies unbedingt tun. Weiterhin sollte zumindest Secure Boot aktiviert werden.
Ähnliche Artikel:
Windows-Treiber mit Schwachstellen (CVE-2021-21551) gefährdet Millionen Dell-Systeme
Update für BIOS-/UEFI-Schwachstellen in Dell-Systemen
Sicherheitslücken in iDRAC8/9-Software gefährden Dell-Server
Anzeige
Naja, wenn sowieso Adminrechte für den Angriff benötigt werden, kann man da noch ganz andere Sachen machen, als wie einen Treiber zu benutzen um den Kernel anzugreifen.
Dell selbst sieht das Problem auch nicht als Fehler, nur als "Schwachpunkt" – gerade eben weil man den administrativen Zugriff benötigt.
Aber vollständiger Zugriff auf Ring 0 (God-Mode) ist schon fein, das ist dann eines der Hintertürchen für Ermittler, die wohl auch von Dritten genutzt werden können. :-D
Bei meinen beiden PCs die mit ASUS Motherboards laufen habe ich nie ein Servicetool vom Hersteller Installiert.
Ich finde diese Dinger überflüssig. Wenn etwas nach einem Update nicht mehr so laufen sollte wie es soll, kann ich selber die Support Seite des Herstellers aufrufen und anschließend ein Treiber update für das Problemgerät installieren. Gegebenenfalls auch direkt über den Gerätemanager in Windows ohne weitere Software die dann als Tray Icon oder Servicetool mitläuft.
Auch der Wildwuchs bei UEFI Systemfirmwareupdates finde ich nicht richtig. Sofern der PC ohne Probleme läuft gibt es keinen Grund ein Update zu machen.
Die einzige Ausnahme ist wenn mit dem Update eine Sicherheitsanfälligkeit geschlossen wird. Das sollte im Changelog stehen.
Auf meinem ASUS Rog Crosshair VI Hero läuft noch UEFI Version 6201 vom 22.06.2018. Damals im Frühjahr 2017 habe ich auf dem System Windows 7 Pro x64 Installiert gehabt. Seit ende 2019 läuft der PC mit Windows 8.1 Pro x64.
Ende 2022 kommt dann Windows 11 drauf. Wenn es Probleme geben sollte kann ich immer noch die letzte UEFI Version einspielen und schauen ob damit Probleme gelöst werden können.
————————————————————
In der Vergangenheit haben die UEFI Updates zwischen Frühjar 2017 und 22.06.2018 keine meiner Probleme behoben. Egal welche UEFI Version. Der Treiber meiner TV Karte stürzte immer sporadisch nach dem Ruhezustand (S4) mit einem DRIVER_POWER_STATE_FAILURE (9F) Fehler ab. Teilweise erst nach 3 Wochen ohne Neustart des Systems. Erst der Tausch des AMD Ryzen 1800X löste das Problem endgültig. Scheinbar hat der SegFault-Bug also doch einen Einfluss auf die komplette Systemstabilität gehabt. Auch wenn dies von offizieller Seite immer verneint wurde.
Braucht man diese DELL-Software (bösen Zungen würden ggf. auch "Saftware" dazu sagen … ) oder vergleichbare Tools anderer Hersteller wie ASUS, HP, Lenovo & Fujitsu wirklich elementar ?
Ich fahre seit Jahren sehr gut damit, KEIN vorinstalliertes Windows, egal welche Windows-Version (7, 8.x, 10, 11) vom Gerätehersteller zu nutzen, sondern IMMER clean mit einem unmodifizierten originalen MS-Image zu installieren.
Danach kommen noch die per MS-Update angeboten Geräte-Treiber und ggf. spezielle Gerätetreiber vom (z.B. Drucker/Scanner-Hersteller) drauf.
So wenig wie möglich, soviel wie nötig.
Die in typischen Organisationen verwendeten Verwaltungstools wie LANdesk o.ä. sollten
A: keine Schwachstellen mitbringen (soweit zur Theorie, siehe auch Solarwinds :-( )
&
B: nicht auf solche Hersteller-Tools angewiesen sein
Sollte … :-(
Allen Lesern ein geruhsames Weihnachtsfest ohne private und it-technische Katastrophen, und natürlich an Günter Born einen großen Dank für diesen Blog und sein Engagement.
Nur als Ergänzung – ist den meisten Leuten unbekannt – die OEMs können deinen schönen Plan "ich installiere clean, ohne OEM Bloatware" ganz offiziell mit den Windows Platform Binary Tables (WPBT) umgehen. Dann wird dir die betreffende OEM-Software im Nachgang in deinem Windows installiert. Ich habe dazu im Blog zwei Beiträge:
Backdoor 'Windows Platform Binary Table' (WPBT) (aus 20215)
Windows WPBT-Schwachstelle ermöglicht Rootkit-Installation (Okt. 2021)
Danke für die Info und geistigen Refresh …
Bisher konnte ich aber keine nachträgliche unerwünschte Installation von Software via WPBT feststellen… :-)
OK, die Anzahl der von mir gehandleten Systeme ist überschaubar und mag anderswo im gewerblichen Bereich anders ausschauen.
Man sollte also WPBT im Hinterkopf behalten … wie so vieles …
Neu: Firefox 95.0.2, Thunderbird 91.4.1
Danke, hatte es schon partiell gestern mitbekommen, war aber bei Amorelie gefangen …
Microsoft entwickelt das Windows immer wieder von Grund auf neu, so dass es immer das beste und sicherste Windows aller Zeiten ist. Windows NT, Windows 2000, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows 11.
Verstehe ich nicht.