USBFuzz: USB-Sicherheitslücken in vielen Betriebssystemen entdeckt

Zwei Sicherheitsforscher haben 26 Sicherheitslücken im USB-Stack von Windows, MacOS, Linux und FreeBSD gefunden.

Artikel veröffentlicht am ,
USB-Anschlüsse
USB-Anschlüsse (Bild: Bruno/Pixabay)

Gleich 26 neue Schwachstellen konnten zwei Sicherheitsforscher im USB-Treiber-Stack der Betriebssysteme Linux, MacOS, Windows und FreeBSD entdecken. Hui Peng (Purdue Universität/USA) und Mathias Payer (Universität Lausanne/Schweiz) haben sie mit dem eigens entwickelten Tool USBFuzz gefunden, das bald als Open-Source-Software veröffentlicht werden soll. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Anwendungsentwickler (d/m/w) Outputmanagement
    NÜRNBERGER Versicherung, Nürnberg
  2. Product Owner (m/w/d)
    Constructiva Solutions GmbH, Bonn
Detailsuche

"Im Kern verwendet USBFuzz ein software-emuliertes USB-Gerät, um den Treibern zufällige Gerätedaten zur Verfügung zu stellen (wenn sie IO-Operationen durchführen)", erklären die Forscher. Beim sogenannten Fuzzing werden Programme - oder in diesem Fall: USB-Treiber - mit zufälligen Daten gefüttert. Reagieren sie auf eine Eingabe ungewollt, beispielsweise durch einen Absturz, handelt es sich höchstwahrscheinlich um einen Bug.

"Da das emulierte USB-Gerät auf der Geräteebene arbeitet, ist die Portierung auf andere Plattformen einfach" erklären die Forscher. Dies ermöglichte Peng und Payer, Schwachstellen in verschiedenen Betriebssystemen zu entdecken. In FreeBSD 12 fanden sie eine, in MacOS 10.15 (Catalina) drei und in Windows 8 und Windows 10 vier Schwachstellen. Unter MacOS führten zwei Bugs zu einem Neustart und einer zum Einfrieren des Systems. Windows quittierte den Dienst mit einem Blue Screen.

Großteil der Sicherheitslücken unter Linux

Insgesamt 18 Schwachstellen entdeckten die Sicherheitsforscher in neun getesteten Linux-Kernelversionen (4.14.81, 4.15, 4.16, 4.17, 4.18.19, 4.19, 4.19.1, 4.19.2 und 4.20-rc2). Zum Zeitpunkt des Tests war Version 4.20-rc2 die aktuellste, die im März 2019 von Version 5.0 abgelöst wurde. Bei 16 von den 18 Schwachstellen handelte es sich um Speicherfehler, die Auswirkungen auf die Sicherheit von Linux-Subsystemen (USB-Core, USB-Sound und Netzwerk) hatten, jeweils ein weiterer Bug steckte im Treiber für USB-Kameras sowie im Linux-USB-Host-Controller. Diese teilten Peng und Payer mit Patchvorschlägen dem Linux-Kernel-Team mit.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
  2. Python kompakt - Einführung für Softwareentwickler
    28.-29. Oktober 2021, online
  3. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26.-28. Oktober 2021, online
Weitere IT-Trainings

11 der im letzten Jahr gemeldeten Sicherheitslücken seien bereits behoben, die weiteren sieben würden teils noch unter Embargo stehen und zu einem späteren Zeitpunkt veröffentlicht. Teils wurden sie aber auch gleichzeitig von anderen Forschern entdeckt und gemeldet, erklären Peng und Payer. Es sei auch bei diesen Schwachstellen in naher Zukunft mit Patches zu rechnen.

Dass die Sicherheitsforscher überhaupt derart viele Schwachstellen unter Linux entdecken konnten, ist erstaunlich: Ende 2017 hatte Google den USB-Stack des Linux-Kernels per Fuzzing mit dem Tool Syzkaller zerlegt und 79 Fehler entdeckt. Peng und Payer wollen USBFuzz nach einem Vortrag auf der Usenix-Konferenz veröffentlichen. Im Unterschied zu Syzkaller und anderen Fuzzing-Tools gebe USBFuzz den Forschern mehr Kontrolle über ihre Testdaten und sei plattformübergreifend, betonen die beiden Forscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik
Lithiumknappheit führt zu Rekordpreisen

Preise steigen in einem Jahr von Rekordtief auf Rekordhoch. Das Angebot hält mit unerwartet hoher Nachfrage nach Lithium-Ionen-Akkus nicht mit.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: Lithiumknappheit führt zu Rekordpreisen
Artikel
  1. Telekom: Firmen wollen private 5G-Netze gar nicht selbst betreiben
    Telekom
    Firmen wollen private 5G-Netze "gar nicht selbst betreiben"

    Laut Telekom wollen die Firmen in Deutschland ihre über 110 5G-Campusnetze nicht selbst führen. Doch es gibt auch andere Darstellungen.

  2. Smartphone-App: Digitaler Führerschein leidet unter enormen Schwierigkeiten
    Smartphone-App
    Digitaler Führerschein leidet unter enormen Schwierigkeiten

    Mit dem großen Andrang habe das Kraftfahrt-Bundesamt nicht gerechnet. Nun ist die App kaputt. Ein Update soll es richten.

  3. Blizzard: Reger Handel mit Gegenständen aus Diablo 2 Resurrected
    Blizzard
    Reger Handel mit Gegenständen aus Diablo 2 Resurrected

    Besonders mächtige Ausrüstung aus Diablo 2 Resurrected wird auf Auktionsbörsen gehandelt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung G5 32" Curved WQHD 144Hz 265€ • Räumungsverkauf bei MediaMarkt • Nur noch heute: Black Week bei NBB • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master Gaming-Headset 59,90€) [Werbung]
    •  /