{"id":227873,"date":"2020-02-05T11:13:55","date_gmt":"2020-02-05T10:13:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227873"},"modified":"2023-08-20T16:24:26","modified_gmt":"2023-08-20T14:24:26","slug":"realtek-schliet-dll-hijacking-schwachstelle-in-hd-audiotreiber-paket","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/05\/realtek-schliet-dll-hijacking-schwachstelle-in-hd-audiotreiber-paket\/","title":{"rendered":"Realtek schlie&szlig;t DLL-Hijacking-Schwachstelle in HD Audiotreiber-Paket"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/02\/06\/realtek-closes-a-dll-hijacking-vulnerability-in-hd-audio-driver\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Der Hersteller Realtek hat eine DLL Hijacking-Schwachstelle in seinem HD Audiotreiber-Paket geschlossen. Hier einige Informationen zu diesem Thema.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/42587f0ba48e4e9aa1e12fdf12900b89\" alt=\"\" width=\"1\" height=\"1\" \/>Ich finde das ganze ja einen \u00e4u\u00dferst spannende Geschichte, da ich hier im Blog ja gelegentlich auf DLL-Hijacking-Schwachstellen in Software hinweise.<\/p>\n<h2>Schwachstelle im Realtek-Audiotreiber-Paket<\/h2>\n<p>Ich bin \u00fcber Bleeping Computer auf <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/realtek-fixes-dll-hijacking-flaw-in-hd-audio-driver-for-windows\/\" target=\"_blank\" rel=\"noopener noreferrer\">das Thema<\/a> gesto\u00dfen. Peleg Hadar hat die DLL-Hijacking-Schwachstelle gefunden und weist in diesem Tweet nun auf das Problem hin.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">CVE-2019-19705 &#8211; A vulnerability which I found in Realtek's Driver package for Windows, which affects a lot of PC users:<a href=\"https:\/\/t.co\/5MpYix6t7o\">https:\/\/t.co\/5MpYix6t7o<\/a><\/p>\n<p>\u2014 Peleg Hadar (@peleghd) <a href=\"https:\/\/twitter.com\/peleghd\/status\/1224787890976231426?ref_src=twsrc%5Etfw\">February 4, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In <a href=\"https:\/\/web.archive.org\/web\/20201021214752\/https:\/\/safebreach.com\/Post\/Realtek-HD-Audio-Driver-Package-DLL-Preloading-and-Potential-Abuses-CVE-2019-19705\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> beschreibt Hadar die von SafeBreach Labs gefundene Schwachstelle CVE-2019-19705. Hadar benutzte dabei seine von ihm entwickelte W\u00e4chter-DLLs und stellte fest, dass die MFC-Anwendung <em>RAVBg64.exe <\/em>(geh\u00f6rt zu Realtek) DLLs nachl\u00e4dt, ohne deren Pfad zu ber\u00fccksichtigen. So w\u00fcrde eine fehlende (System-)DLL von Windows aus dem aktuellen Arbeitsverzeichnis nachgeladen.<\/p>\n<p>Konkret versucht der HD-Audio-Hintergrundprozess, der als NT AUTHORITY\\SYSTEM l\u00e4uft, die <em>RAVBg64ENU.dll <\/em>und die <em>RAVBg64LOC.dll <\/em>aus dem Arbeitsverzeichnis<\/p>\n<p>C:\\Program Files\\Realtek\\Audio\\HDA\\<\/p>\n<p>zu importieren, obwohl die DLLs dort nicht zu finden sind. Ein Angreifer mit entsprechenden Berechtigungen k\u00f6nnte damit eigene Dateien diesen Namens in diesem Ordner ablegen. Diese w\u00fcrde vom HD-Audio-Hintergrundprozess geladen und w\u00fcrden es erlauben, Malware persistent im System zu verankern.<\/p>\n<h2>Schwachstelle gefixt, alte Treiberpakete als Problem<\/h2>\n<p>Die Schwachstelle wurde Realtek am 10. Juli 2019 gemeldet, und am 13. Dezember 2019 mit einem Patch geschlossen. Der Fix findet sich im Realtek HD-Audio-Treiberpaket ver.8857 oder neuer. Treiberversionen vor 8855, die mit Microsoft Visual Studio 2005 (VS2005) erstellt wurden, sind immer noch anf\u00e4llig f\u00fcr Angriffe.<\/p>\n<p>Ich habe beim Schreiben des Beitrags <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/05\/sicherheitsinfos-emotet-scanner-whatsapp-etc-5-2-2020\/#comment-84467\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Kommentar<\/a> von Blog-Leser 1ST1 gesehen, der auf ein gravierendes Problem hinweist:<\/p>\n<blockquote><p>Das bl\u00f6de ist nur, auf <a href=\"https:\/\/www.realtek.com\/en\/\" target=\"_blank\" rel=\"noopener noreferrer\">www.realtek.com<\/a> und realtek-downloads.com findet man nur HD-Audio-Treiber aus dem Jahr 2017 und 18, aber nichts aus dem Dezember 2019. Und die haben andere Versionsnummern: 2.xx, und nixda mit 88xx\u2026<\/p>\n<p>Dar\u00fcber beschweren sich die Leute auch hier <a href=\"https:\/\/www.tenforums.com\/sound-audio\/135259-latest-realtek-hd-audio-driver-version-2-a-145.html\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.tenforums.com\/sound-audio\/135259-latest-realtek-hd-audio-driver-version-2-a-145.html<\/a> und bieten noch neuere Treiber, der neueste ist 8888.1 \u00fcber Downloadlinks in der Mangenta-Cloud an. Vertrauensvoll finde ich das aber nicht\u2026<\/p>\n<p>Vielleicht findet man diese neueren Versionen auch auf Webseiten von Mainboardherstellern (ASUS, MSI, Gigabyte, \u2026), aber daf\u00fcr m\u00fcsste man Realtek echt mal in den Hintern treten.<\/p><\/blockquote>\n<p>Damit ist der Punkt ausreichend umschrieben. Vielleicht ist das ja f\u00fcr den einen oder anderen Leser hilfreich.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Hersteller Realtek hat eine DLL Hijacking-Schwachstelle in seinem HD Audiotreiber-Paket geschlossen. Hier einige Informationen zu diesem Thema.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,115,3288],"class_list":["post-227873","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-treiber","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227873","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227873"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227873\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}