![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Microsoft hat zwei schwere Sicherheitsl\u00fccken im Huawei PCManager f\u00fcr Windows gefunden, die die Ausweitung lokaler Privilegien erm\u00f6glichen. Updates stehen sei Januar 2019 bereit. <\/p>\nMicrosoft hat zwei schwere Sicherheitsl\u00fccken im Huawei PCManager f\u00fcr Windows gefunden, die die Ausweitung lokaler Privilegien erm\u00f6glichen. Updates stehen sei Januar 2019 bereit. <\/p>\n
<\/p>\n
Eine Schwachstelle in einem signierten Drittanbieter-Treiber k\u00f6nnte schwerwiegende Auswirkungen haben. Eine solche Schwachstelle kann von Angreifern missbraucht werden, um Privilegien zu erh\u00f6hen oder, was h\u00e4ufiger der Fall ist, die Durchsetzung der Treibersignatur zu umgehen. <\/p>\n Genau eine solche Schwachstelle hat Microsoft im Huawei PCManager f\u00fcr Windows gefunden. Hintergrund war eine Warnung der Kernelsensoren des Microsoft Defender Advanced Threat Protection. Denn ab Windows 10, Version 1809, wurde der Kernel mit neuen Sensoren ausgestattet. Diese wurden entwickelt, um die durch einen Kernelcode initiierte Benutzer-APC-Code-Injektion zu verfolgen und so eine bessere \u00dcbersicht \u00fcber Kernel-Bedrohungen wie DOUBLEPULSAR zu erhalten. <\/p>\n Bei der Untersuchung der oben erw\u00e4hnten Warnmeldung stie\u00df man auf einen von Huawei entwickelten Device Management Treiber HwOs2Ec10x64.sys<\/em>. Die Analyse des Treibers ergab, dass dieser auf Grund eines Fehlers im Design eine Schwachstelle aufwies. Diese h\u00e4tte eine lokale Eskalation von Privilegien erm\u00f6glicht.<\/p>\n Microsoft hat dann die Schwachstelle (CVE-2019-5241) an Huawei gemeldet. Der Hersteller hat schnell und professionell reagiert und mit Microsoft zusammengearbeitet. Am 9. Januar 2019 ver\u00f6ffentlichte Huawei einen Fix. In diesem Blogbeitrag m\u00f6chten wir unsere Reise von der Untersuchung einer Microsoft Defender ATP-Warnung \u00fcber das Aufdecken einer Schwachstelle bis hin zur Zusammenarbeit mit dem Anbieter und dem Schutz von Kunden vorstellen.<\/p>\n Bei der Untersuchung des obigen Sachverhalts, der im Detail in obigem Microsoft Blog-Beitrag beschrieben ist, stie\u00df man auf einen weiteren Bug. Es gab einen IOCTL-Handler, der einen Eintrag zur Liste der \u00fcberwachten Prozesse hinzugef\u00fcgt hat. Bei der Untersuchung kam heraus, dass der Prozess MateBookService.exe <\/em>wahrscheinlich diese IOCTL verwendet, um sich beim Start des Dienstes zu registrieren. <\/p>\n Kontrolliert ein Angreifer eine Instanz von MateBookService.exe, erh\u00e4lt er weiterhin Zugriff auf das Ger\u00e4t \\\\.\\HwOs2EcX64 und kann einige seiner IRP-Funktionen aufrufen. Dann k\u00f6nnte der angreifergesteuerte Prozess diese F\u00e4higkeit missbrauchen, um mit dem Ger\u00e4t zu kommunizieren und eine \u00fcberwachte ausf\u00fchrbare Datei seiner Wahl zu registrieren. Die Schwachstelle CVE-2019-5242 erm\u00f6glicht es einem Angreifer, b\u00f6sartigen Code auszuf\u00fchren und Speicher zu lesen\/zu schreiben.<\/p>\n Huawei schreibt in einem Advisory<\/a>, dass beide Fehler bereits behoben seien. Den Anwendern wird empfohlen, den PCManager in China auf Version 9.0.1.70 und in den \u00dcberseem\u00e4rkten auf 9.0.1.66 zu aktualisieren.<\/p>\n Der Patch wurde am 9. Januar 2019 ver\u00f6ffentlicht, und die Benutzer k\u00f6nnen die neueste Version des PCManager f\u00fcr jedes Huawei-Modell, das sie besitzen, von der offiziellen Website herunterladen. Details finden sich im Microsoft-Beitrag<\/a>, Zusammenfassungen sind hier<\/a> und hier<\/a> zu finden. Stellt sich die Frage, wer den PCManager von Huawei (Bloatware) eigentlich einsetzt?<\/p>\n","protected":false},"excerpt":{"rendered":" Microsoft hat zwei schwere Sicherheitsl\u00fccken im Huawei PCManager f\u00fcr Windows gefunden, die die Ausweitung lokaler Privilegien erm\u00f6glichen. Updates stehen sei Januar 2019 bereit.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,301],"tags":[4328,3836,4325],"class_list":["post-216218","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows","tag-sicherheit","tag-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216218","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=216218"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216218\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=216218"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=216218"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=216218"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Im Blog-Beitrag From alert to driver vulnerability: Microsoft Defender ATP investigation unearths privilege escalation flaw<\/a> hat Microsoft jetzt einige Details offen gelegt. <\/p>\n
Schwachstelle im Huawei-Treiber<\/h2>\n
Huawei stellt Update bereit<\/h2>\n
Und noch ein Bug entdeckt<\/h2>\n