• IT-Karriere:
  • Services:

Sicherheitslücke: Huawei-Treiber verwendet gleiche Technik wie NSA

Ein vorinstallierter Treiber auf Huaweis Matebooks hat die gleiche Technik wie eine NSA-Backdoor verwendet, um einen Dienst neu zu starten. Die Funktion konnte auch von Angreifern missbraucht werden.

Artikel veröffentlicht am ,
Präsentation eines Huawei Matebooks
Präsentation eines Huawei Matebooks (Bild: Josep Lago/AFP/Getty Images)

Ein vorinstallierter Treiber auf Huaweis Matebooks ermöglichte lokalen Angreifern, Prozesse mit Systemrechten zu starten. Microsoft entdeckte die Sicherheitslücke durch die Einführung neuer Kernel-Sensoren in Windows 10 Version 1809. Diese sollen Kernel-Backdoors wie Doublepulsar erkennen, welche von dem US-Geheimdienst National Security Agency (NSA) entwickelt und 2017 von der Hackergruppe Shadow Brokers geleakt wurden. Huawei verwendete die gleiche Technik, um einen Dienst neu zu starten. Die Sicherheitslücke wurde im Januar mit einem Update der betroffenen Software PC Manager, ein Gerätemanager für Huaweis Matebooks, behoben. Zuerst hatte das Online-Magazin Ars Technica berichtet.

Stellenmarkt
  1. B+S GmbH Logistik und Dienstleistungen, Bielefeld, Borgholzhausen
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Dortmund, Düsseldorf, Duisburg

Neben signaturbasierter Erkennung von Schadsoftware erkennt die Software Microsoft Defender auch merkwürdiges Verhalten. Über die neu eingeführten Kernel-Sensoren entdeckten Microsoft-Mitarbeiter eben solches Verhalten in einem Treiber von Huawei. Der Treiber agierte als Wächter und prüfte, ob der Dienst des PC Managers ausgeführt wird. Wenn der Dienst abgestürzt war oder beendet wurde, startete er den Dienst neu. Für diesen Neustart injizierte der Treiber Code in einen privilegierten Windows-Prozess und startete diesen Code über einen APC (Asynchronous Procedure Call). Über APCs kann die synchrone Bearbeitung von Funktionen unterbrochen und stattdessen die Bearbeitung einer anderen Funktion gestartet werden. Die Technik wird laut Ars Technica beispielsweise bei I/O-Operationen verwendet, damit das Betriebssystem einen Schreib- oder Lesevorgang ohne zu warten starten kann.

Angreifer konnten Prozess mit Systemrechten ausführen

Warum Huawei auf diese Funktion gesetzt hat beziehungsweise überhaupt eine Wächtersoftware zum Einsatz kam, ist unklar: Windows bietet bereits die Funktion, abgestürzte Dienste wieder neu zu starten. Huaweis Treiber versuchte zwar sicherzustellen, dass er mit Huaweis Dienst kommuniziert und nur diesen startet. Dennoch konnten Angreifer den Wächter übernehmen und über ihn einen Prozess mit Systemrechten starten. Über eine zweite Sicherheitslücke in Huaweis PC Manager konnte zudem der Arbeitsspeicher ausgelesen sowie Informationen in diesen geschrieben werden.

Auch der PC-Hersteller Asus hat Probleme mit einem vorinstallierten Live-Update-Tool. Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Huawei-Produkten bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Wahlprogramm vorgelegt
    SPD fordert Tempolimit von 130 km/h auf Autobahnen
  2. Telekom-Chef
    De-Mail ist ein "toter Gaul"
  3. Fritzbox
    AVM bestätigt Angriffe auf Router und gibt Entwarnung
  4. Streaming
    Netflix bringt eigene Terminator-Serie
  5. Logitech vs. Cherry
    Leise klackert es im Büro (oder auch nicht)
Anzeige
Spiele-Angebote
  1. 13,99€
  3. 12,39€
  4. 3,50€
Kommentarübersicht
Re: Und warum gibt es diese Funktion überhaupt...
Aluz 28. Mär 2019

Ja man will ja nicht dass irgend so ein Admin oder IT Spezialist denkt den Dienst dann...

Re: Warum?
Dwalinn 27. Mär 2019

+1

Bin ma gespannt auf die 5G Treiber ^^ kwt
mcmrc1 27. Mär 2019

kwt

Die EU freut sich.
das_mav 27. Mär 2019

So einen tollen Wettbewerb hat sie schon ewig nicht mehr gesehen. Kaum ist eine...

Folgen Sie uns
       
Sony Playstation 5 - Fazit

Im Video zum Test der Playstation 5 zeigt Golem.de die Hardware und das Dashboard der Konsole von Sony.

Sony Playstation 5 - Fazit Video aufrufen
VLC
Open-Source-Mediaplayer: Die Deutschen werden VLC wohl zerstören
Open-Source-Mediaplayer
"Die Deutschen werden VLC wohl zerstören"

Der VideoLAN-Gründer Jean-Baptiste Kempf spricht im Golem.de Interview über Softwarepatente und die Idee, einen Verkehrskegel als Symbol zu verwenden.
Ein Interview von Martin Wolf

  1. 20 Jahre VLC Die beste freie Software begleitet mich seit meiner Kindheit
Schulen
Microsoft Teams an Schulen: Läuft bei uns
Microsoft Teams an Schulen
Läuft bei uns

Viele Schulen setzen im Lockdown auf Microsoft Teams. Aber was ist wichtiger, reibungsloser Fernunterricht oder Datenschutz?
Von Meike Laaff und Jakob von Lindern

  1. Glasfaser Telekom will jede Schule in einem Jahr mit FTTH anbinden
  2. Nordrhein-Westfalen Bundesland gibt 2,6 Millionen Euro für Online-Lexikon aus
  3. Bildung Digitalpakt Schule "ist nach wie vor eine Katastrophe"
Rust
Programmiersprachen: Weniger Frust mit Rust
Programmiersprachen
Weniger Frust mit Rust

Die Programmiersprache Rust macht nicht nur weniger Fehler, sie findet sie auch früher.
Von Florian Gilcher

  1. Linux Rust wandert ins System
  2. Open Source Rust verabschiedet sich endgültig von Mozilla
  3. Google und ISRG Apache-Webserver bekommt Rust-Modul
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /