Mit <kes>+ lesen

34 Windows-Treiber anfällig für Geräteübernahme

Forscher haben mehrere Sicherheitslücken entdeckt: Nicht weniger als 34 anfällige Windows-Driver-Model-(WDM)- und Windows-Driver-Frameworks-(WDF)-Treiber könnten von Cyberkriminellen ohne besondere Privilegien ausgenutzt werden, um die vollständige Kontrolle über die Geräte zu erlangen und beliebigen Code auf den zugrunde liegenden Systemen auszuführen.

Bedrohungen
Lesezeit 1 Min.

Takahiro Haruyama, ein leitender Bedrohungsforscher bei VMware Carbon Black, hat aufgedeckt, dass bestimmte Windows-Treiber von Angreifern ohne Privilegien ausgenutzt werden können, um Firmware zu manipulieren oder zu löschen und möglicherweise ihre Betriebssystemprivilegien zu erhöhen.

Die Untersuchung baut auf vorherigen Studien wie ScrewedDrivers und POPKORN auf, die symbolische Ausführungstechniken zur automatisierten Entdeckung verwundbarer Treiber verwendeten. Die neue Studie konzentriert sich gezielt auf Treiber, die über Port-I/O und Memory-Mapped-I/O Zugriff auf die Firmware ermöglichen.

Zu den anfälligen Treibern gehören beispielsweise AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld. amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys und TdkLib64.sys (CVE-2023-35841).

Von den 34 Treibern erlauben sechs einen Zugriff auf den Kernel-Speicher, der missbraucht werden kann, um die Privilegien zu erhöhen und Sicherheitslösungen zu umgehen. Zwölf der Treiber könnten ausgenutzt werden, um Sicherheitsmechanismen wie die Kernel Address Space Layout Randomization (KASLR) zu unterlaufen. Sieben der Treiber, darunter stdcdrv64.sys von Intel, können dazu verwendet werden, die Firmware im SPI-Flash-Speicher zu löschen, wodurch das System nicht mehr gestartet werden kann. Intel hat inzwischen einen Fix für das Problem veröffentlicht.

VMware hat außerdem WDF-Treiber wie WDTKernel.sys und H2OFFT64.sys identifiziert, die zwar in Bezug auf die Zugriffskontrolle nicht anfällig sind, aber von privilegierten Bedrohungsakteuren als triviale Waffe eingesetzt werden können, um einen so genannten BYOVD-Angriff (Bring Your Own Vulnerable Driver) durchzuführen.

Diese Technik wurde bereits von verschiedenen Angreifern eingesetzt, darunter die Lazarus-Gruppe, die mit Nordkorea in Verbindung gebracht wird. Das Ziel solcher Angriffe besteht darin, erhöhte Rechte zu erlangen und Sicherheitssoftware auf kompromittierten Endpunkten zu deaktivieren, um so einer Entdeckung zu entgehen.

Takahiro Haruyama merkt an: „Der derzeitige Umfang der APIs und Anweisungen, auf die das IDAPython-Skript zur Automatisierung der statischen Codeanalyse anfälliger x64-Treiber abzielt, ist eng begrenzt und konzentriert sich auf den Zugriff auf die Firmware. Es ist jedoch vergleichsweise einfach, den Code zu erweitern, um andere Angriffsvektoren abzudecken, beispielsweise das Beenden beliebiger Prozesse.“

Diesen Beitrag teilen: