Sicherheitsforscher haben in mehr als 40 von Microsoft zertifizierten Treibern neue Sicherheitslücken gefunden.

Das Problem liegt im Treibercode, der die Kommunikation zwischen dem Betriebssystemkern und der Hardware ermöglicht und eine höhere Berechtigungsstufe als ein normaler Benutzer oder Administrator bietet.

Die Sicherheitslücken des Treibers können Millionen betreffen

Zu den betroffenen Hardwareherstellern zählen große Unternehmen wie Intel, Nvidia, Huawei, Toshiba und Asus. So beschreibt das Cybersecurity-Team von Eclypsium, das die Sicherheitslücken gefunden hat, diese:

All diese Sicherheitsanfälligkeiten ermöglichen es dem Treiber, als Proxy zu fungieren, um einen hochprivilegierten Zugriff auf die Hardwareressourcen durchzuführen, z. B. Lese- und Schreibzugriff auf den Prozessor- und Chipsatz-E / A-Bereich, modellspezifische Register (MSR), Steuerregister (CR) und Debugging Register (DR), physischer Speicher und virtueller Kernelspeicher. Dies ist eine erweiterte Berechtigung, da ein Angreifer vom Benutzermodus (Ring 3) in den Betriebssystemkernelmodus (Ring 0) versetzt werden kann. Das Konzept der Schutzringe ist in der folgenden Abbildung zusammengefasst, in der jedem Innenring nach und nach mehr Berechtigungen gewährt werden. Es ist wichtig zu beachten, dass auch Administratoren neben anderen Benutzern in Ring 3 (und nicht tiefer) arbeiten. Der Zugriff auf den Kernel kann einem Angreifer nicht nur den privilegiertesten Zugriff auf das Betriebssystem gewähren, sondern auch den Zugriff auf die Hardware- und Firmware-Schnittstellen mit noch höheren Berechtigungen wie der System-BIOS-Firmware.

Dies bedeutet, dass die fehlerhaften Treiber böswilligen Apps ermöglichen könnten, Kernel-Berechtigungen zu erlangen, die sich direkt auf die Firmware und die Hardware auswirken. Darüber hinaus kann das Problem durch eine Neuinstallation des Betriebssystems nicht behoben werden.

Dies ist der Fall bei BIOS- und UEFI-Firmware, die nach einer Beeinträchtigung nicht durch eine Neuinstallation des Betriebssystems repariert werden kann.

Alle Windows-Versionen sind betroffen

Erwähnenswert ist, dass über 40 Treiber betroffen waren und das Problem für alle Windows-Versionen gilt, nicht nur für Windows 10.

Microsoft rät seinen Kunden dringend, Windows Defender Application Control zu verwenden, um unbekannte Software zu blockieren und die Speicherintegrität für fähige Geräte in Windows Security zu aktivieren.

Hier ist die vollständige Liste der betroffenen Anbieter:

• ASRock
• ASUSTeK Computer
• ATI Technologies (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Phoenix Technologies
• Realtek Semiconductor
• SuperMicro
• Toshiba

Einige von ihnen haben bereits Korrekturen bereitgestellt, andere sind jedoch weiterhin von einem Embargo betroffen.

Um die Sicherheit Ihres Systems zu gewährleisten, sollten Sie regelmäßig nach veralteten Treibern suchen und die neuesten Treiberkorrekturen der oben genannten Hersteller installieren.

Um Ihnen zu helfen, haben wir einen Leitfaden zum Aktualisieren veralteter Treiber vorbereitet. Lesen Sie ihn daher unbedingt durch.

LESEN SIE AUCH:

• Vorgehensweise: Aktualisieren Sie den Grafiktreiber unter Windows 10
• 9 beste Antivirensoftware mit Verschlüsselung zum Schutz Ihrer Daten
• Microsoft Defender ATP ist das neue plattformübergreifende Sicherheitsangebot von Microsoft