Microsoft,
Nvidia,
AMD oder
Samsung: Sicherheitsforscher der VMware Threat Analysis Unit haben in insgesamt 34 Windows-Gerätetreibern (30 WDM- und 4 WDF-Treiber) auch namhafter Hersteller Schwachstellen gefunden. Über diese können Angreifer ihre Berechtigungen im System ausweiten. "Alle geben Nicht-Admin-Benutzern die volle Kontrolle über die Geräte. Durch Ausnutzung der anfälligen Treiber kann ein Angreifer ohne Systemprivilegien die Firmware löschen/verändern und/oder seine Privilegien erhöhen", schreiben die Forscher in einem
Beitrag.
Zudem hat das Team eine Liste aller betroffenen Treiber veröffentlicht, die Teils in verschiedenen Versionen vorliegen. Insgesamt haben die Forscher 237 Hashes gefunden und die Schwachstellen anschliessend im April beziehungsweise Mai 2023 an jene Hersteller gemeldet, deren Treiber zu diesem Zeitpunkt valide Signaturen aufwiesen. Die Reaktion war jedoch enttäuschend. "Nur zwei Anbieter haben die Schwachstellen behoben", so die Sicherheitsexperten. Namentlich reagierten bisher AMD und Phoenix Technologies.
"Es scheint wahrscheinlich, dass wir in Zukunft umfassendere Ansätze brauchen als die derzeit von
Microsoft verwendete Verbotslistenmethode. Eine einfache Verhinderung des Ladens von Treibern, die mit widerrufenen Zertifikaten signiert sind, würde zum Beispiel etwa ein Drittel der in dieser Untersuchung aufgedeckten anfälligen Treiber blockieren", empfehlen die Forscher. Schliesslich sei zu beachten, dass die typischen Lösungen der Hersteller für anfällige Treiber darin bestehen würden, lediglich die Gerätezugriffskontrolle einzustellen und Anfragen von nicht privilegierten Benutzern abzulehnen. "Dies kann EoP (Anm.d.Red.: Elevation of OS Privilege) verhindern, lässt aber die BYOVD-Techniken ungelöst, da Angreifer bereits über Administratorrechte verfügen, um Kernel-Treiber zu laden." Die Forscher gehen daher davon aus, dass Angreifer die Techniken weiterhin nutzen werden, indem sie die "nicht angreifbaren" Treiber ausnutzen.
(sta)
