Abo
  • Services:

Sicherheitslücke: Huawei-Treiber verwendet gleiche Technik wie NSA

Ein vorinstallierter Treiber auf Huaweis Matebooks hat die gleiche Technik wie eine NSA-Backdoor verwendet, um einen Dienst neu zu starten. Die Funktion konnte auch von Angreifern missbraucht werden.

Artikel veröffentlicht am ,
Präsentation eines Huawei Matebooks
Präsentation eines Huawei Matebooks (Bild: Josep Lago/AFP/Getty Images)

Ein vorinstallierter Treiber auf Huaweis Matebooks ermöglichte lokalen Angreifern, Prozesse mit Systemrechten zu starten. Microsoft entdeckte die Sicherheitslücke durch die Einführung neuer Kernel-Sensoren in Windows 10 Version 1809. Diese sollen Kernel-Backdoors wie Doublepulsar erkennen, welche von dem US-Geheimdienst National Security Agency (NSA) entwickelt und 2017 von der Hackergruppe Shadowbroker geleakt wurden. Huawei verwendete die gleiche Technik, um einen Dienst neu zu starten. Die Sicherheitslücke wurde im Januar mit einem Update der betroffenen Software PC Manager, ein Gerätemanager für Huaweis Matebooks, behoben. Zuerst hatte das Online-Magazin Ars Technica berichtet.

Stellenmarkt
  1. TLI Consulting GmbH, Nürnberg, Hannover, Berlin, Erlangen
  2. B. Strautmann & Söhne GmbH & Co. KG, Bad Laer

Neben signaturbasierter Erkennung von Schadsoftware erkennt die Software Microsoft Defender auch merkwürdiges Verhalten. Über die neu eingeführten Kernel-Sensoren entdeckten Microsoft-Mitarbeiter eben solches Verhalten in einem Treiber von Huawei. Der Treiber agierte als Wächter und prüfte, ob der Dienst des PC Managers ausgeführt wird. Wenn der Dienst abgestürzt war oder beendet wurde, startete er den Dienst neu. Für diesen Neustart injizierte der Treiber Code in einen privilegierten Windows-Prozess und startete diesen Code über einen APC (Asynchronous Procedure Call). Über APCs kann die synchrone Bearbeitung von Funktionen unterbrochen und stattdessen die Bearbeitung einer anderen Funktion gestartet werden. Die Technik wird laut Ars Technica beispielsweise bei I/O-Operationen verwendet, damit das Betriebssystem einen Schreib- oder Lesevorgang ohne zu warten starten kann.

Angreifer konnten Prozess mit Systemrechten ausführen

Warum Huawei auf diese Funktion gesetzt hat beziehungsweise überhaupt eine Wächtersoftware zum Einsatz kam, ist unklar: Windows bietet bereits die Funktion, abgestürzte Dienste wieder neu zu starten. Huaweis Treiber versuchte zwar sicherzustellen, dass er mit Huaweis Dienst kommuniziert und nur diesen startet. Dennoch konnten Angreifer den Wächter übernehmen und über ihn einen Prozess mit Systemrechten starten. Über eine zweite Sicherheitslücke in Huaweis PC Manager konnte zudem der Arbeitsspeicher ausgelesen sowie Informationen in diesen geschrieben werden.

Auch der PC-Hersteller Asus hat Probleme mit einem vorinstallierten Live-Update-Tool. Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war.



Anzeige
Top-Angebote
  1. 69,90€ + Versand (Vergleichspreis 100,83€ + Versand)
  2. für 50,96€ mit Code: Osterlion19
  3. (aktuell u. a. ADATA XPG GAMMIX D3 DDR4-3200 8 GB für 49,99€ + Versand)

Aluz 28. Mär 2019 / Themenstart

Ja man will ja nicht dass irgend so ein Admin oder IT Spezialist denkt den Dienst dann...

Dwalinn 27. Mär 2019 / Themenstart

+1

das_mav 27. Mär 2019 / Themenstart

So einen tollen Wettbewerb hat sie schon ewig nicht mehr gesehen. Kaum ist eine...

Kommentieren


Folgen Sie uns
       


Huawei zu Spionagevorwürfen im Golem.de Interview

Der deutsche Pressesprecher von Huawei erklärt den Umgang mit Spionagevorwürfen.

Huawei zu Spionagevorwürfen im Golem.de Interview Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
    Days Gone angespielt
    Zombies, Bikes und die Sache mit der Benzinpumpe

    Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
    Von Peter Steinlechner


      Falcon Heavy: Beim zweiten Mal wird alles besser
      Falcon Heavy
      Beim zweiten Mal wird alles besser

      Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
      Von Frank Wunderlich-Pfeiffer und dpa

      1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
      2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
      3. Raumfahrt SpaceX - Die Rückkehr des Drachen

        •  /