Abo
  • IT-Karriere:

Sicherheitslücke: Huawei-Treiber verwendet gleiche Technik wie NSA

Ein vorinstallierter Treiber auf Huaweis Matebooks hat die gleiche Technik wie eine NSA-Backdoor verwendet, um einen Dienst neu zu starten. Die Funktion konnte auch von Angreifern missbraucht werden.

Artikel veröffentlicht am ,
Präsentation eines Huawei Matebooks
Präsentation eines Huawei Matebooks (Bild: Josep Lago/AFP/Getty Images)

Ein vorinstallierter Treiber auf Huaweis Matebooks ermöglichte lokalen Angreifern, Prozesse mit Systemrechten zu starten. Microsoft entdeckte die Sicherheitslücke durch die Einführung neuer Kernel-Sensoren in Windows 10 Version 1809. Diese sollen Kernel-Backdoors wie Doublepulsar erkennen, welche von dem US-Geheimdienst National Security Agency (NSA) entwickelt und 2017 von der Hackergruppe Shadow Brokers geleakt wurden. Huawei verwendete die gleiche Technik, um einen Dienst neu zu starten. Die Sicherheitslücke wurde im Januar mit einem Update der betroffenen Software PC Manager, ein Gerätemanager für Huaweis Matebooks, behoben. Zuerst hatte das Online-Magazin Ars Technica berichtet.

Stellenmarkt
  1. Universität Hamburg, Hamburg
  2. tresmo GmbH, Augsburg

Neben signaturbasierter Erkennung von Schadsoftware erkennt die Software Microsoft Defender auch merkwürdiges Verhalten. Über die neu eingeführten Kernel-Sensoren entdeckten Microsoft-Mitarbeiter eben solches Verhalten in einem Treiber von Huawei. Der Treiber agierte als Wächter und prüfte, ob der Dienst des PC Managers ausgeführt wird. Wenn der Dienst abgestürzt war oder beendet wurde, startete er den Dienst neu. Für diesen Neustart injizierte der Treiber Code in einen privilegierten Windows-Prozess und startete diesen Code über einen APC (Asynchronous Procedure Call). Über APCs kann die synchrone Bearbeitung von Funktionen unterbrochen und stattdessen die Bearbeitung einer anderen Funktion gestartet werden. Die Technik wird laut Ars Technica beispielsweise bei I/O-Operationen verwendet, damit das Betriebssystem einen Schreib- oder Lesevorgang ohne zu warten starten kann.

Angreifer konnten Prozess mit Systemrechten ausführen

Warum Huawei auf diese Funktion gesetzt hat beziehungsweise überhaupt eine Wächtersoftware zum Einsatz kam, ist unklar: Windows bietet bereits die Funktion, abgestürzte Dienste wieder neu zu starten. Huaweis Treiber versuchte zwar sicherzustellen, dass er mit Huaweis Dienst kommuniziert und nur diesen startet. Dennoch konnten Angreifer den Wächter übernehmen und über ihn einen Prozess mit Systemrechten starten. Über eine zweite Sicherheitslücke in Huaweis PC Manager konnte zudem der Arbeitsspeicher ausgelesen sowie Informationen in diesen geschrieben werden.

Auch der PC-Hersteller Asus hat Probleme mit einem vorinstallierten Live-Update-Tool. Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war.



Anzeige
Hardware-Angebote
  1. 529€
  2. täglich neue Deals bei Alternate.de

Aluz 28. Mär 2019

Ja man will ja nicht dass irgend so ein Admin oder IT Spezialist denkt den Dienst dann...

Dwalinn 27. Mär 2019

+1

das_mav 27. Mär 2019

So einen tollen Wettbewerb hat sie schon ewig nicht mehr gesehen. Kaum ist eine...


Folgen Sie uns
       


Asus ROG Phone 2 ausprobiert

Das neue ROG Phone II von Asus richtet sich an Mobile Gamer - ist angesichts der Topausstattung aber auch für alle anderen Nutzer interessant.

Asus ROG Phone 2 ausprobiert Video aufrufen
Facebook Horizon ausprobiert: Social-VR soll kommen, um zu bleiben
Facebook Horizon ausprobiert
Social-VR soll kommen, um zu bleiben

Mit Horizon entwickelt Facebook eine virtuelle Welt, um Menschen per VR-Headset zusammenzubringen. Wir haben Kevin vermöbelt, mit Big Alligator eine Palme gepflanzt und Luftkämpfe um bunte Fahnen ausgetragen.
Von Marc Sauter

  1. VR-Rundschau Mit Vader auf die dunkle Seite des Headsets
  2. Virtual Reality HTC Vive Cosmos bietet 1.440 x 1.700 Pixel pro Auge
  3. Anzeige Osrams LEDs und Sensoren machen die virtuelle Welt realer

Teamviewer: Ein schwäbisches Digitalwunder
Teamviewer
Ein schwäbisches Digitalwunder

Team wer? Eine schwäbische Softwarefirma hilft weltweit, per Fernzugriff Computer zu reparieren. Nun geht Teamviewer an die Börse - mit einer Milliardenbewertung.
Ein Bericht von Lisa Hegemann

  1. Fernwartungssoftware Permiras Teamviewer erhofft sich 5 Milliarden Euro Bewertung

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

    •  /