Abo
  • IT-Karriere:

Sicherheitslücke: Huawei-Treiber verwendet gleiche Technik wie NSA

Ein vorinstallierter Treiber auf Huaweis Matebooks hat die gleiche Technik wie eine NSA-Backdoor verwendet, um einen Dienst neu zu starten. Die Funktion konnte auch von Angreifern missbraucht werden.

Artikel veröffentlicht am ,
Präsentation eines Huawei Matebooks
Präsentation eines Huawei Matebooks (Bild: Josep Lago/AFP/Getty Images)

Ein vorinstallierter Treiber auf Huaweis Matebooks ermöglichte lokalen Angreifern, Prozesse mit Systemrechten zu starten. Microsoft entdeckte die Sicherheitslücke durch die Einführung neuer Kernel-Sensoren in Windows 10 Version 1809. Diese sollen Kernel-Backdoors wie Doublepulsar erkennen, welche von dem US-Geheimdienst National Security Agency (NSA) entwickelt und 2017 von der Hackergruppe Shadow Brokers geleakt wurden. Huawei verwendete die gleiche Technik, um einen Dienst neu zu starten. Die Sicherheitslücke wurde im Januar mit einem Update der betroffenen Software PC Manager, ein Gerätemanager für Huaweis Matebooks, behoben. Zuerst hatte das Online-Magazin Ars Technica berichtet.

Stellenmarkt
  1. BWI GmbH, Bonn, München, Schwielowsee
  2. dreisechzig ITC GmbH, Dreieich

Neben signaturbasierter Erkennung von Schadsoftware erkennt die Software Microsoft Defender auch merkwürdiges Verhalten. Über die neu eingeführten Kernel-Sensoren entdeckten Microsoft-Mitarbeiter eben solches Verhalten in einem Treiber von Huawei. Der Treiber agierte als Wächter und prüfte, ob der Dienst des PC Managers ausgeführt wird. Wenn der Dienst abgestürzt war oder beendet wurde, startete er den Dienst neu. Für diesen Neustart injizierte der Treiber Code in einen privilegierten Windows-Prozess und startete diesen Code über einen APC (Asynchronous Procedure Call). Über APCs kann die synchrone Bearbeitung von Funktionen unterbrochen und stattdessen die Bearbeitung einer anderen Funktion gestartet werden. Die Technik wird laut Ars Technica beispielsweise bei I/O-Operationen verwendet, damit das Betriebssystem einen Schreib- oder Lesevorgang ohne zu warten starten kann.

Angreifer konnten Prozess mit Systemrechten ausführen

Warum Huawei auf diese Funktion gesetzt hat beziehungsweise überhaupt eine Wächtersoftware zum Einsatz kam, ist unklar: Windows bietet bereits die Funktion, abgestürzte Dienste wieder neu zu starten. Huaweis Treiber versuchte zwar sicherzustellen, dass er mit Huaweis Dienst kommuniziert und nur diesen startet. Dennoch konnten Angreifer den Wächter übernehmen und über ihn einen Prozess mit Systemrechten starten. Über eine zweite Sicherheitslücke in Huaweis PC Manager konnte zudem der Arbeitsspeicher ausgelesen sowie Informationen in diesen geschrieben werden.

Auch der PC-Hersteller Asus hat Probleme mit einem vorinstallierten Live-Update-Tool. Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 245,90€
  3. 80,90€ + Versand
  4. 259€ + Versand oder kostenlose Marktabholung

Aluz 28. Mär 2019

Ja man will ja nicht dass irgend so ein Admin oder IT Spezialist denkt den Dienst dann...

Dwalinn 27. Mär 2019

+1

das_mav 27. Mär 2019

So einen tollen Wettbewerb hat sie schon ewig nicht mehr gesehen. Kaum ist eine...


Folgen Sie uns
       


Backup per Band angesehen

Das Rattern des Roboterarms und Rauschen der Klimaanlage: Golem.de hat sich Bandlaufwerke in Aktion beim Geoforschungszentrum Potsdam angeschaut. Das Ziel: zu erfahren, was die 60 Jahre alte Technik noch immer sinnvoll macht.

Backup per Band angesehen Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
      Final Fantasy 7 Remake angespielt
      Cloud Strife und die (fast) unendliche Geschichte

      E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

      1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
      2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
      3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

        •  /