Bei mindestens 20 verschiedenen Hardwareanbietern hat ein Team von Sicherheitsforschern hochriskante Schwachstellen in Gerätetreibern identifiziert. Das Ziel für Angreifer: Zugang zum Betriebssystem und sich damit die höchsten Zugriffsrechte zu beschaffen: ein ernsthaftes Problem.

Der Gerätetreiber lässt Hardware und Betriebssystem interagieren und ermöglicht dem PC eine ordnungsgemäße Kommunikation. Mehr als 40 Treiber sollen laut Firmware- und Hardware-Sicherheitsfirma Eclypsium von dieser Schwachstelle betroffen sein. Angreifer missbrauchen diese Sicherheitslücke auf der Komponente, um schadhafte Codes auszuführen. Malware wird so platziert, dass sie unentdeckt bleibt – manchmal über Jahre. Im Zeitablauf sucht das Schadprogramm eigenständig nach anfälligen Treibern auf dem betroffenen Gerät, ohne dass der Angreifer einen weiteren Treiber installieren muss.

Firmware wie BIOS und UEFI (Low-Level-Software) werden beim Einschalten des PCs vor dem Betriebssystem gestartet. Wenn in diesen Treibern Malware platziert wurde und eine Schwachstelle ausgenutzt wird, kann ein Angreifer Zugriff auf den Kernprozessor erhalten und zwischen Firmware- und Hardwareschnittstellen wechseln. Dadurch werden sie für die meisten Cybersicherheitslösungen nicht sichtbar. Auch wenn das Betriebssystem neu installiert werden würde, verbleibt die Malware auf dieser Komponente und wird nicht entfernt.

Quelle: thehackernews.com

Zertifizierte Treiber sind nicht sicher

Unter Windows erfordert die Treiberinstallation Administratorrechte und die von Microsoft zertifizierten vertrauenswürdigen Treiberanbietern. Wenn ein Zertifikat nicht vorliegt, gibt Windows eine Warnung an den Benutzer aus. Nur ein gültiges Zertifikat belegt die Authentizität.

Nachfolgend finden Sie eine noch unvollständige Liste der von Windows legitimierten Treiber, die von Eclypsium geprüft und als gefährlich ermittelt wurden (Restliche dürfen nicht veröffentlicht werden):

·        American Megatrends International (AMI) ·        Getac ·        NVIDIA
·        ASRock ·        GIGABYTE ·        Phoenix Technologies
·        ASUSTeK Computer ·        Huawei ·        Realtek Semiconductor
·        ATI Technologies (AMD) ·        Insyde ·        SuperMicro
·        Biostar ·        Intel (siehe Auswirkungen der Schwachstelle) ·        Toshiba
·        EVGA ·         Micro-Star International (MSI)

 

Auch wenn diese Treiber nicht konzipiert wurden, um bösartige Aktivitäten auszuführen: Die auf Treibern befindliche schadhafte Malware sucht aktiv nach Einfallstoren, um sich Zugriff zum Betriebssystem und Netzwerk zu verschaffen.

Besonders dabei: Unter allen getesteten und als anfällig eingestuften Treibern sind auch Festplatten, Grafikkarten, Netzwerkadapter usw. gefährdet, da damit ständig beispielsweise auf Events, Messen, Ausstellungen usw. interagiert wird.

Lösungen zur Abwehr dieser Bedrohung:

  • Regelmäßiges Scannen nach veralteter System- und Komponenten-Firmware
  • Anwenden neuester Treiberfixes von Geräteherstellern, um Schwachstellen zu beheben.