Abo

IT-Karriere:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Sicherheitslücke: Huawei-Treiber verwendet gleiche Technik wie NSA

Ein vorinstallierter Treiber auf Huaweis Matebooks hat die gleiche Technik wie eine NSA-Backdoor verwendet, um einen Dienst neu zu starten. Die Funktion konnte auch von Angreifern missbraucht werden.

Artikel veröffentlicht am 27. März 2019, 12:34 Uhr, Moritz Tremmel

Präsentation eines Huawei Matebooks (Bild: Josep Lago/AFP/Getty Images)

Ein vorinstallierter Treiber auf Huaweis Matebooks ermöglichte lokalen Angreifern, Prozesse mit Systemrechten zu starten. Microsoft entdeckte die Sicherheitslücke durch die Einführung neuer Kernel-Sensoren in Windows 10 Version 1809. Diese sollen Kernel-Backdoors wie Doublepulsar erkennen, welche von dem US-Geheimdienst National Security Agency (NSA) entwickelt und 2017 von der Hackergruppe Shadow Brokers geleakt wurden. Huawei verwendete die gleiche Technik, um einen Dienst neu zu starten. Die Sicherheitslücke wurde im Januar mit einem Update der betroffenen Software PC Manager, ein Gerätemanager für Huaweis Matebooks, behoben. Zuerst hatte das Online-Magazin Ars Technica berichtet.

Stellenmarkt

BWI GmbH, Bonn, München, Schwielowsee
dreisechzig ITC GmbH, Dreieich

Neben signaturbasierter Erkennung von Schadsoftware erkennt die Software Microsoft Defender auch merkwürdiges Verhalten. Über die neu eingeführten Kernel-Sensoren entdeckten Microsoft-Mitarbeiter eben solches Verhalten in einem Treiber von Huawei. Der Treiber agierte als Wächter und prüfte, ob der Dienst des PC Managers ausgeführt wird. Wenn der Dienst abgestürzt war oder beendet wurde, startete er den Dienst neu. Für diesen Neustart injizierte der Treiber Code in einen privilegierten Windows-Prozess und startete diesen Code über einen APC (Asynchronous Procedure Call). Über APCs kann die synchrone Bearbeitung von Funktionen unterbrochen und stattdessen die Bearbeitung einer anderen Funktion gestartet werden. Die Technik wird laut Ars Technica beispielsweise bei I/O-Operationen verwendet, damit das Betriebssystem einen Schreib- oder Lesevorgang ohne zu warten starten kann.

Angreifer konnten Prozess mit Systemrechten ausführen

Warum Huawei auf diese Funktion gesetzt hat beziehungsweise überhaupt eine Wächtersoftware zum Einsatz kam, ist unklar: Windows bietet bereits die Funktion, abgestürzte Dienste wieder neu zu starten. Huaweis Treiber versuchte zwar sicherzustellen, dass er mit Huaweis Dienst kommuniziert und nur diesen startet. Dennoch konnten Angreifer den Wächter übernehmen und über ihn einen Prozess mit Systemrechten starten. Über eine zweite Sicherheitslücke in Huaweis PC Manager konnte zudem der Arbeitsspeicher ausgelesen sowie Informationen in diesen geschrieben werden.

Auch der PC-Hersteller Asus hat Probleme mit einem vorinstallierten Live-Update-Tool. Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war.