Sicherheitslücken in Windows-Treibern auf der DefCon-Sicherheitskonferenz

Während der 27. jährlichen DefCon-Computersicherheitskonferenz deckten Forscher, die mit Eclypsium arbeiten, schwerwiegende Sicherheitslücken auf, die sie in einer Vielzahl von Windows-Treibern entdeckt hatten. Der in dem Bericht beschriebene Hauptfehler bestand darin, dass Treiber Anwendungen, die mit geringen Berechtigungen im Benutzerbereich des Systems ausgeführt wurden, ungerechtfertigten Zugriff auf den Systemkern verschafften. Treiber arbeiten auf einer anderen Ebene als reguläre Software, wie beispielsweise Microsoft Office. Der Konstruktionsfehler in den wenigen Dutzend im Bericht genannten Treibern ermöglichte es schlechten Schauspielern, die Fehler im Treiberdesign auszunutzen und uneingeschränkten Zugriff zu erhalten zum kompromittierten System. Alle problematischen Treiber waren Treiber, die von Microsoft digital signiert wurden.

Mickey Shkatov, einer der Eclypsium-Forscher im DefCon-Panel, führte die daraus resultierenden Treiberfehler auf schlechte Codierungspraktiken der Hardwarehersteller und eine unzureichende Berücksichtigung potenzieller Sicherheitsprobleme zurück. Shkatov erklärte, dass Fahrer immer häufiger so codiert werden, dass sie "willkürliche Aktionen im Namen des Userspace ausführen" können, anstatt sich strikt auf den spezifischen Zweck zu beschränken, für den sie arbeiten.

Die Forscher haben dies auch als ein sehr ernstes Problem bezeichnet, da die Hardwarehersteller davon ausgehen, dass Microsoft nach solchen Problemen sucht, bevor Treiber digital signiert werden, und Microsoft erwartet, dass die Hersteller in ihren Treibern sicheren Code verwenden Veröffentlichungen.

Zu den Hardwareanbietern, die es auf die Liste der betroffenen Treiber geschafft haben, gehören große Namen wie NVidia, AsusTek, AMD, EVGA, Gigabyte, Intel und Toshiba. Alle diese Anbieter wurden seitdem vom Forschungsteam benachrichtigt und haben Treiberupdates veröffentlicht. Um potenzielle Schäden an Systemen, auf denen anfällige Treiber ausgeführt werden, weiter zu verringern, setzt Microsoft die HVCI-Funktionen (Windows 10 Hypervisor Code Integrity) ein, um gemeldete problematische Treiber auf eine schwarze Liste zu setzen.

Übermäßige Panik über das Treiberproblem ist nicht gerechtfertigt. Wie die Forscher betonten, muss ein schlechter Akteur zuvor das Zielsystem kompromittiert haben, um auf den Kernel des Systems zugreifen zu können. Der Treiber selbst kann nicht als Einstiegspunkt, sondern als tieferer Graben, der schlecht ist, verwendet werden Schauspieler, der das System bereits infiltriert hat, kann graben.