Windows 10/11: Rechteausweitung in AMD-RAID-Treiber

WindowsIm AMD RAID-Treiber für Windows 10 und Windows 11 ist ein gravierender Bug bekannt geworden, der die Sicherheit des Systems gefährdet. Die Schwachstelle CVE-2024-21962, hat einen CVSS-Score von 8.6. AMD und auch der Hersteller HP haben Sicherheitshinweise sowie eine neue Treiberversion veröffentlicht. Hier einige Informationen dazu.

Ein Blog-Leser hat einen entsprechenden Hinweis im Diskussionsbereich hinterlassen. Ich ziehe die Informationen mal hier heraus. Die Kernbotschaft: Im AMD RAID-Treiber gibt es eine Schwachstelle CVE-2024-21962, die eine Rechteausweitung mit Ausführung beliebigen Codes ermöglicht (CVSS Base-Score 8.6). Eine fehlerhafte Eingabevalidierung im AMD-RAID-Treiber könnte es einem Angreifer ermöglichen, auf einen beliebigen Speicherort zu verweisen, was möglicherweise zu einer Rechteausweitung und zur Ausführung von beliebigem Code führen könnte, heißt es in der CVE-Beschreibung vom 15. Juni 2026.

AMD hat den Supportartikel AMD RAID Software Release Notes ver. 9.3.3.00245 zum Treiberupdate veröffentlicht. Der Support-Beitrag Sicherheitsaktualisierung für AMD RAID Treiber geht ebenfalls auf das Thema ein. HP empfiehlt, das System mit der neuesten Firmware und Software auf dem aktuellen Stand zu halten.

Dieser Beitrag wurde unter Sicherheit, Software, Update, Windows, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

8 Kommentare zu Windows 10/11: Rechteausweitung in AMD-RAID-Treiber

  1. Luzifer sagt:

    Aus der Ferne ausnutzbar? Kann dazu nix finden, wenn nicht , naja jeder Angreifer der direkten Zugang zur Hardware hat… hat alles was er braucht auch ohne Lücken!

    • FriedeFreudeEierkuchen sagt:

      Ich hoffe, mit dieser Mentalität hast du keine IT-Verantwortung…
      Und wenn du Systeme betreibst, bei denen die reine Anwesenheit vor einem Gerät reicht, um es zu komprimitieren, ist irgendwo etwas komplett falsch gelaufen.

      • Luzifer sagt:

        Wenn ich Zugriff auf die Hardware habe kann kein Admin etwas ausrichten! Dann hast du verloren. Klar gilt es Bürorechner soweit in den Rechten einzuschränken/abzusichern, aber wenn wer Ahnung hat hilft das nicht!
        Hardwarezugriff=alles ist Möglich!
        Wer was anderes glaubt ist einfach nur naiv!

        • Luzifer sagt:

          /edit/
          Um es mal salopp auch für dich auszudrücken (und das ist jetzt die primitivste Art) Gehst du als Admin jeden Morgen durch die Firma und prüfst ob da zwischen USB Port und Tastatur ein zusätzlicher Datenlogger hängt? (und Nein das kriegst du nicht aus der Ferne abgefragt, die brauchen weder extra Treiber noch werden die vom System erkannt) macht man es etwas verstecker schraubt man die Tastatur auf und verbaut intern. Wie gesagt lediglich die primitivste Art Angriff.

          Falls du das machst Bravo! Vorbildlich! Glaub ich dir aber nicht.
          Putzt du den Serverraum selbst?

          Die meisten Admins sind doch schon mit SchattenIT überfordert…

          • JanM sagt:

            Da sind wir aber schon bei einem recht gezielten Angriff. Mit dem abgefangen Passwort – sofern eins benutzt wird – _sollte_ man (in entsprechenden Umgebungen) nicht viel anfangen können ohne den (hoffentlich vorhandenen) zweiten Faktor.

            Alles was man da dann später an Input mitschneidet muss ja auch erstmal sortiert und in Kontext gebracht werden, um es zu verwenden. Da bleibt am Ende auch wieder "ein wenig" raten und hoffen.

            "Serverraum" dürfte an der Stelle jetzt Definitionssache sein. In einem "Serverraum" dürfte eine Reinigung von zwei, dreimal im Jahr wohl genügen. Das lässt sich dann sicherlich auch gut beaufsichtigt machen. Generell _sollten_ "Serverräume" überwacht werden. Man stelle sich einen (stark) Sauerstoff-reduzierten Serverraum vor, wo jeder Hinz und Kunz reinspaziert.

            Es bleibt aber dabei, dass jemand mit Zutritt durchaus auch eine (Handy) Kamera / Smart-Glasses o.ä. dabei haben kann und einfach alles fotografiert / filmt. Der/Diejenige kann ja auch nur mit dem Ziel die Bewerbung geschrieben haben. Ansonsten wird man bei vielen Arbeitgebern sicherlich mit etwas Social Engineering auch einen MA finden, der wie und warum auch immer offen für eine "kleine Geldspende" ist.

            Am Ende bleibt die Frage, wie schützenswert sind die Daten des Unternehmens denn _wirklich_ und wessen Risikoanalyse fördert zu Tage, dass man hier einen _tatsächlichen_ Schutzbedarf sieht. (Ich kann mir vorstellen, dass es Unternehmen gibt, die sich vor "sowas" schützen und andere Einfallsscheunentore sperrangelweit offen stehen.)

            (Vielleicht geht der Trend zum Nacktarbeitsplatz und Brillenträger bekommen eine Arbeitsbrille vom AG gestellt. ;))

            P.S.: In einem Kundenprojekt gab es einen "PAW Raum", der mindestens von zwei Personen betreten werden musste, wo dann um die PCs gegangen wurde, um genau solche USB Dongles / andere Manipulationen auszuschließen / erkennen. (Und auch hier hätte man vermutlich "nur" die richtigen beiden mit genug Geld bewerfen müssen.)

            • Luzifer sagt:

              *****************************************
              Wie gesagt lediglich die primitivste Art Angriff.
              *****************************************

              Fakt ist nunmal: Gerätezugriff und du kannst alles tun!
              Kann kein Admin verhindern…

              Von aussen kann man entsprechend absicherm… der Feind innen ist unkalkulierbar.
              Die Überwachung da ist auch aus Arbeitschutzrechtlichen Gesetzen recht kastriert…

  2. JanM sagt:

    Es gibt eine Reihe an Prozessoren, die wohl keinen Fix bekommen (https://www.amd.com/en/resources/product-security/bulletin/AMD-SB-4016.html):

    1 This issue is not being fixed because recent architectural changes in the RAID driver and installer make the updated stack incompatible with older programs and therefore updates cannot be applied to these systems.

    • R.S. sagt:

      Billige Ausrede.
      Slebst wenn es Architekturänderungen im Treiber gab, was hindert AMD daran, die Sourcen des alten Treibers mit Stand vor der Architekturänderung herauszukramen und da den Fix einzubauen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.