{"id":260730,"date":"2021-12-19T03:29:50","date_gmt":"2021-12-19T02:29:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260730"},"modified":"2021-12-19T11:01:32","modified_gmt":"2021-12-19T10:01:32","slug":"dell-windows-treiber-erlauben-weiterhin-kernelangriffe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/19\/dell-windows-treiber-erlauben-weiterhin-kernelangriffe\/","title":{"rendered":"Dell Windows-Treiber erlauben weiterhin Kernelangriffe"},"content":{"rendered":"

\"Windows\"[English<\/a>]Benutzer von Dell-Systemen sind immer noch der Gefahr ausgesetzt, dass ihre Windows-Systeme \u00fcber Dell-Treiber durch Kernelangriffe kompromittiert werden. Das Problem sollte bereits im Mai 2021 durch Updates gefixt werden. Sicherheitsforscher von Rapid7 schlagen jetzt aber Alarm, dass diese Sicherheitsupdates nicht alle Schwachstellen geschlossen haben. Es sind zwar Administrator-Privilegien erforderlich, um die Treiber zu installieren. Aber es sieht so aus, als ob dieser Ansatz von Cyber-Gangs f\u00fcr Angriffe genutzt wird. Im Business-Umfeld gibt es aber Gegenma\u00dfnahmen.<\/p>\n

<\/p>\n

Dell Treiberschwachstellen CVE-2021-21551<\/h2>\n

\"\"Im Mai 2021 hatte ich im Blog-Beitrag Windows-Treiber mit Schwachstellen (CVE-2021-21551) gef\u00e4hrdet Millionen Dell-Systeme<\/a> \u00fcber ein Sicherheitsproblem mit dem Dell-Treiber dbutil_2_3.sys<\/em> f\u00fcr Windows berichtet. In einem Treiber, der die letzten 12 Jahre auf Millionen Windows-Systemen von Dell im Consumer- und Unternehmensbereich installiert wurde, haben Sicherheitsforscher mehrere Schwachstellen entdeckt. Diese Schwachstellen besitzen einen Schweregrad 8 (von 10) und erm\u00f6glichen es einem Angreifer eine Privilegien-Erh\u00f6hung durchzuf\u00fchren.<\/p>\n

Durch die Schwachstelle (CVE-2021-21551) im sogenannten DBUtil-Windows-Treiber von Dell waren PCs, All-in-One- und 2-in-1-Systeme, die diesen Treiber verwenden, sicherheitstechnisch gef\u00e4hrdet. Dell hatte dazu eine Sicherheitswarnung DSA-2021-088: Dell Client Platform Security Update for an Insufficient Access Control Vulnerability in the Dell dbutil Driver<\/a> sowie diese FAQ<\/a> herausgegeben.<\/p>\n

Die Treiberdatei kann praktisch auf jedem Dell-System mit Windows-Betriebssystem installiert worden sein, sobald die Firmware-Update-Utility-Pakete, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent oder Dell Platform Tags verwendet wurden. Dell hatte dann diesen Treiber aktualisiert (siehe DSA-2021-088<\/a>), um die Schwachstellen zu beseitigen – so war mein Stand.<\/p>\n

Treiber k\u00f6nnen weiter missbraucht werden<\/h2>\n

Sicherheitsforscher von Rapid 7 haben bereits am 13. Dezember 2021 in diesem Beitrag<\/a> drauf hingewiesen, dass viele Cyberkriminelle Windows-Treiber f\u00fcr ihre Zwecke missbrauchen, um Malware in Systeme einzuschleusen. Dies wird als Bring Your Own Vulnerable Driver<\/a>-Angriffsmethode (BYOVD) bezeichnet. Bei dieser Angriffstechnik versuchen die Angreifer den Benutzer dazu zu verleiten, einen legitimen, aber anf\u00e4lligen Treiber auf einem Zielcomputer zu installieren. \u00dcber diesen angreifbaren Treiber versuchen die Angreifer eine Privilegienausweitung unter Windows und dann Code auf dem Zielsystem einzuschleusen.<\/p>\n

Nun ist den Kollegen von Bleeping Computer aufgefallen<\/a>, dass Rapid 7 angibt, dass die Treiberschwachstellen CVE-2021-21551 in dbutil_2_3.sys<\/em> auch in neueren Dell-Treiberversionen ausnutzbar seien. Die Sicherheitsforscher von Rapid 7 haben\u00a0 ein Metasploit-Modul entwickelt, das den LSA-Schutz-Angriff unter Verwendung der neuen Dell-Treiber (dbutildrv2.sys 2.5 und 2.7) implementiert. Ein Angreifer mit erweiterten Rechten kann das Modul verwenden, um den Prozessschutz f\u00fcr eine beliebige PID zu aktivieren oder zu deaktivieren.<\/p>\n

Die Dell-Treiber sind f\u00fcr Angreifer besonders wertvoll, da sie mit den neuesten Signierungsanforderungen<\/a> von Microsoft kompatibel sind. Die Wahrscheinlichkeit, dass Dell-Treiber f\u00fcr Windows auf eine Blockierliste (Blacklist) gesetzt werden, ist eher gering. Denn die Treiber werden f\u00fcr die Aktualisierung der Firmware f\u00fcr eine gro\u00dfe Anzahl von Produkten verwendet. Benutzer daran zu hindern, die Firmware ihrer Computer durch Blockieren von Treibern zu aktualisieren, ist nicht sinnvoll. Inzwischen verwendet Malware, laut Rapid 7, diese Dell-Treiber f\u00fcr Angriffe. Als Dell von Rapid 7 kontaktiert wurde, kam folgende Antwort zur\u00fcck:<\/p>\n

Nach sorgf\u00e4ltiger Abw\u00e4gung mit dem Produktteam haben wir dieses Problem als Schwachstelle und nicht als Sicherheitsrisiko eingestuft, da f\u00fcr die Durchf\u00fchrung eines Angriffs eine bestimmte Berechtigungsstufe erforderlich ist. Dies steht im Einklang mit den im Windows-Treibermodell enthaltenen Hinweisen. Wir haben nicht vor, einen Sicherheitshinweis zu ver\u00f6ffentlichen oder ein CVE zu diesem Problem herauszugeben.<\/p><\/blockquote>\n

Es stimmt zwar, dass die Treiberinstallation Administratorechte erfordert. Aber dann kann ein Angreifer auch \u00fcber den Treiber den Kernel angreifen und ggf. Root-Kits etc. installieren. Gegenmittel w\u00e4re das Blockieren der Installation der betreffenden Treiber \u00fcber Driver block rules<\/a> – aber die Dell-Treiber sind aktuell in der Liste nicht aufgef\u00fchrt (Dell arbeitet mit Microsoft aber daran). Wer die M\u00f6glichkeit hat, Hypervisor-Protected Code Integrity<\/a> (HVCI) zu aktivieren, sollte dies unbedingt tun. Weiterhin sollte zumindest Secure Boot aktiviert werden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows-Treiber mit Schwachstellen (CVE-2021-21551) gef\u00e4hrdet Millionen Dell-Systeme<\/a>
\nUpdate f\u00fcr BIOS-\/UEFI-Schwachstellen in Dell-Systemen<\/a>
\nSicherheitsl\u00fccken in iDRAC8\/9-Software gef\u00e4hrden Dell-Server<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Benutzer von Dell-Systemen sind immer noch der Gefahr ausgesetzt, dass ihre Windows-Systeme \u00fcber Dell-Treiber durch Kernelangriffe kompromittiert werden. Das Problem sollte bereits im Mai 2021 durch Updates gefixt werden. Sicherheitsforscher von Rapid7 schlagen jetzt aber Alarm, dass diese Sicherheitsupdates nicht … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-260730","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260730","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260730"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260730\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260730"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260730"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260730"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}