{"id":221577,"date":"2019-08-11T08:40:58","date_gmt":"2019-08-11T06:40:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=221577"},"modified":"2023-02-20T08:16:09","modified_gmt":"2023-02-20T07:16:09","slug":"windows-treiber-teilweise-fr-privilege-escalation-anfllig","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/08\/11\/windows-treiber-teilweise-fr-privilege-escalation-anfllig\/","title":{"rendered":"Windows Treiber teilweise f&uuml;r Privilege Escalation anf&auml;llig"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[English]Sicherheitsforscher haben bei einer Analyse legitimer Ger\u00e4tetreiber herausgefunden, dass mehr als 40 dieser Treiber von mindestens 20 Hardwareanbietern anf\u00e4llig f\u00fcr Privilege Escalation sind.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/0652867246a3444f84b0e17f33120827\" alt=\"\" width=\"1\" height=\"1\" \/>Ger\u00e4tetreiber sitzen zwischen dem Betriebssystem und dem UEFI\/BIOS sowie der Hardware. Damit l\u00e4uft der Treiber mit h\u00f6heren Berechtigungen als Software der Standard-Benutzer und Administratoren. Einige Treiber werden auch verwendet, um die Firmware zu aktualisieren. Treiber werden in Windows daher durch Microsoft digital signiert. Und Windows 10 l\u00e4sst inzwischen nur noch signierte Treiber zu. Gelingt es einer Malware, Schwachstellen in Treibern auszunutzen, steht T\u00fcr und Tor offen, um ggf. das System und die Firmware (\u00fcber diese Treiber zum Firmware-Update) zu manipulieren.<\/p>\n<p>Sicherheitsforscher der Firmware- und Hardware-Sicherheitsfirma Eclypsium <a href=\"https:\/\/eclypsium.com\/2019\/08\/10\/screwed-drivers-signed-sealed-delivered\/\" target=\"_blank\" rel=\"noopener noreferrer\">haben herausgefunden<\/a>, dass mehr als 40 Treiber anf\u00e4llig f\u00fcr eine f\u00fcr Privilege Escalation sind. Benutzerprogramme k\u00f6nnen sich \u00fcber die Treiber also Kernelberechtigungen verschaffen. Bleeping Computer hat die Information in <a href=\"https:\/\/web.archive.org\/web\/20190811065635\/https:\/\/www.bleepingcomputer.com\/news\/security\/over-40-windows-hardware-drivers-vulnerable-to-privilege-escalation\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> publiziert. Eclypsium schreibt dazu:<\/p>\n<blockquote><p>All these vulnerabilities allow the driver to act as a proxy to perform highly privileged access to the hardware resources, such as read and write access to processor and chipset I\/O space, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), physical memory and kernel virtual memory.<\/p><\/blockquote>\n<p>Es handelt sich hier keinesfalls um ein theoretisches Risiko. Genau diese Szenarien wurden bei Cyber-Spionage-Operationen in der Vergangenheit bereits eingesetzt. Die Slingshot APT-Gruppe verwendete laut Bleeping Computer \u00e4ltere gef\u00e4hrdete Treiber, um die Berechtigungen auf infizierten Computern zu erh\u00f6hen. Das Lojax-Rootkit von APT28 (alias Sednit, Fancy Bear, Strontium Sofacy) wurde \u00fcber einen signierten Treiber in der UEFI-Firmware hinterlegt. Bleeping Computer hat bisher folgende Liste an Hardwareanbietern ver\u00f6ffentlicht, die angreifbare Treiber f\u00fcr Windows bereitstellen.<\/p>\n<p>American Megatrends International (AMI)<br \/>\nASRock<br \/>\nASUSTeK Computer<br \/>\nATI Technologies (AMD)<br \/>\nBiostar<br \/>\nEVGA<br \/>\nGetac<br \/>\nGIGABYTE<br \/>\nHuawei<br \/>\nInsyde<br \/>\nIntel<br \/>\nMicro-Star International (MSI)<br \/>\nNVIDIA<br \/>\nPhoenix Technologies<br \/>\nRealtek Semiconductor<br \/>\nSuperMicro<br \/>\nToshiba<\/p>\n<p>Dem Artikelnach ist diese Liste unvollst\u00e4ndig, da einige Informationen noch unter Embargo stehen und unver\u00f6ffentlicht sind. Die Pr\u00e4sentation von der\u00a0DEF CON l\u00e4sst sich <a href=\"https:\/\/eclypsium.com\/wp-content\/uploads\/2019\/08\/EXTERNAL-Get-off-the-kernel-if-you-cant-drive-DEFCON27.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">hier abrufen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher haben bei einer Analyse legitimer Ger\u00e4tetreiber herausgefunden, dass mehr als 40 dieser Treiber von mindestens 20 Hardwareanbietern anf\u00e4llig f\u00fcr Privilege Escalation sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-221577","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221577","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=221577"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221577\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=221577"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=221577"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=221577"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}