Microsoft-analyse: Hul i Windows-driver fra Huawei tillader rettigheds-eskalering

Sikkerhedsforskere hos Microsoft har fundet en sårbarhed i en Huawei-driver, som muliggør rettighedseskalering.

»Hov, hvad var det? Det ser mærkeligt ud.«

Sådan kan det i princippet have lydt fra de sikkerhedsforskere hos Microsoft, der har gennemgået koden i en driver fra kinesiske Huawei og fundet frem til en sårbarhed, der tillader lokal rettigheds-eskalering. Nærmere bestemt PC Manager, der kører på Huawei MateBook laptops.

Det fremgår af et nyere (25. marts) indlæg hos Windows-producenten.

Huawei rettede sårbarheden med en opdatering i januar.

Her fortæller Microsoft Defender Research Team om, hvordan sikkerhedsforskerne blev opmærksomme på et sikkerhedsproblem i driveren fra Huawei som følge af en varsling fra noget sikkerhedssoftware.

Kernel-sensorer

Softwaren kaldes Microsoft Defender Advanced Threat Protection, varslingen opstod via det, der kaldes kernel-sensorer i Windows.

Sensorerne har ifølge indlægget hos Microsoft været på plads siden Windows 10 version 1809.

»Vi sporede en unormal opførsel fra en enhedshåndtering-driver udviklet af Huawei,« står der i Microsoft-indlægget.

Sikkerhedsforskerne kiggede nærmere på sagen og fandt frem til, at driveren indeholdt en sårbarhed, som kunne gøre en angriber i stand til at opnå lokal rettigheds-eskalering.

»Vi rapporterede sårbarheden (assigned CVE-2019-5241) til Huawei, som svarede og samarbejdede hurtigt og professionelt,« oplyser Microsoft i indlægget.

Huawei har 9. januar udgivet en rettelse til sårbarheden.

De nærmere tekniske detaljer om kortlægningen af sårbarheden, samt hvordan Microsoft påviste, den kunne bruges til et angreb, kan læses her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Magnus Jørgensen

Fredag, 5. april 2019 - 17:24

Fagbladet Version2 har i en række artikler ensidigt dækket den handelskrig som USA's præsident Trump har ført siden sin indsættelse. Denne handels krig er en opfyldelse af hans løfter fra præsident valgkampen, om at Kina stjæler arbejdspladser fra de amerikanske vælgere. Dagens artikel handler om en Windows driver der kan muliggøre rettighedseksalering igennem et sikkerheds hul. Driveren blev patchet i Januar og nævner, at Microsoft roser Huwai for deres hurtige og professionelle arbejde, imens der ligger en åbenlys hentydning til at hullet er placeret bevidst.

  • 7
  • 7
Jan Thomsen

Som enkeltstående hændelse er den nævnte sag måske ikke så interessant. Men hvis man tager et bredere perspektiv så må den nylige rapport fra den britiske analog til USAs NSA vækker bekymring. Briterne har således vurderet Huaweis software udvikling og viser at den beskyttelse som skulle ligge i briternes mulighed for at reviewe source koden er total irrelevant fordi de ingen sikkerhed har for at den installerede version er identisk med den man har foretaget security review af.
Man kan så anlægge sin personlige vurdering af om dette er udtryk for sjusket udviklingsmetoder eller forsøg på at liste sikkerhedshuller ind - alt efter temperament og holdning. Huawei har iøvrigt - som foregående år - lovet at gøre noget ved det. Vi får se.
Mht. Trump så skal man måske overveje om han til trods for sin mildest talt uortodokse fremgangsmåde har taget initiativ til at gøre op med mange af de urimeligheder der ligger i samhandel med Kina, som i vid udstrækning stjæler intellectual properties med arme og ben, og med en vis sandsynlighed dumper priser på visse varegrupper af strategisk betydning, med støtte fra staten for at vinde markedsandele.
Jeg deler således overhovedet ikke din kritik af Versio2s dækning af Huawei, som i min optik blot er udtryk for at man driver kritisk journalistik.

  • 5
  • 1
Jacob Nordfalk

Enig. De andre producenter er da mindst lige så hullede, det hører man bare ikke om.

Enten har ingen foretaget et seriøst studium hvor forskellige producenters sikkerhed sammenlignes - eller også bongede Huawei slet ikke ud i forhold til de andre producenter

Ellers kan jeg love for at vi havde hørt om det, med store overskrifter.

  • 3
  • 0
Jan Thomsen

Man kan formode at andre leverandører er lige så hullede, men i modsætning til Huawei er der så ikke tilsvarende rapporter der understøtter det på samme udførlige vis som i den engelske undersøgelse. Men måsk lidt unfair sammenligning da der nok ikke er nogen der (p.t.) stiller samme krav til adgang til kildekode for vestligt udstyr. Det den engelske rapport viser er at deres softwareudvikling synes præget at ustruktureret amatørisme. Det kunne man håbe ikke var tilfældet for vestligt udstyr.

Men min største bekymring er ikke amatørismen, hvis denne ikke er tilsigtet for at dække over noget andet, og det faktum at der dukker huller op - for det ved vi vil ske for stort set al IT-udstyr. Hovedproblemet er om man kan stole på Huawei ikke også bevidst indbygger sikkerhedshuller. Måske det også sker i vestligt udviklet udstyr, men alt andet lige vil jeg nu foretrække sikkerhedshuller i udstyr fra en Nato partner end for udstyr fra Kina, Rusland og Nordkorea, etc. Kald det paranoia, men hellere det end at hele vores infrastruktur kan risikere at stå åben for angreb i en evt. kommende konflikt med de stadig mere aggressive regimer uden demokratisk kontrol.

  • 3
  • 0
Magnus Jørgensen

Din første post i denne sag læser jeg som om du mener version2 har lavet en ensidig dækning af Huawei ? Og den holdning deler jeg ikke. Det synes jeg da skulle være ganske let at forstå.

Jeg skrev at der var en ensidig dækning af USA's handelskrig imod Kina. Synes du ikke det er ligt rigt, at man klandrer Kina for noget som USA gentagne gange er blevet afslørret i, med feks. Vault 7 og stuxnet? Denne artikkel spekulerer i folks reaktioner hos Microsoft for at lægge en åbenlys anklage imod Huawei, og det synes du er kritisk journalistik?

Det er jo ren mennings danner materiale.

  • 2
  • 1
Michael Cederberg

Jeg skrev at der var en ensidig dækning af USA's handelskrig imod Kina. Synes du ikke det er ligt rigt, at man klandrer Kina for noget som USA gentagne gange er blevet afslørret i, med feks. Vault 7 og stuxnet?

Microsoft har skrevet et blog-indlæg om at de har fundet et meget alvorligt sikkerhedsproblem i en Huawei driver. Det synes du ikke verison2 skal skrive om? Hvem må de heller ikke skrive om?

Det er ganske rigtigt at Huawei var hjælpsomme til at fjerne problemet, men vi bør stadigvæk spørge om hvorfor koden var der i første omgang. For dette er ikke en simpel kodefejl men et betænkeligt designvalg. Enten er Huawei talentløse og så bør dette give stof til eftertanke. Alternativt er det vand på amerikanernes mølle og så bør det også give stof til eftertanke.

Diskussionen om denne sag er i øvrigt neddæmpet i forhold til fx. Lenovo's meget betænkelige omgåelse af root-certifikater, facebooks password skandale, ciscos curl problemer, etc. Så tør øjnene og accepter at der er sikkerhedshuller alle steder.

  • 2
  • 1
Hans Nielsen

", som i vid udstrækning stjæler intellectual properties med arme og ben,"

Vel kun hvis man har lovgivning om det. Patenter og ligende retigheder er jo meget omdiskuteret. Og et Komministisk Kina, har vel ikke købt alle USA kapitalitiske ider. De behøver vel heller ikke hjernelam, at følge eller tage sig af hjernelam amrikansk President.

Desuden så kan sådan sager vel kun afgøres i WTO, og har har USA stadig ikke udnævnt dommere :-)

  • 1
  • 4
Jan Thomsen

Det er jo ren mennings danner materiale.

Jeg kalder det nyheder. Stuxnet osv. har jo også været dækket i pressen og sådan må det vel være. Huawei er i søgelyset lige for tiden - fordi der er interessant nyt omkring uheldig eller bevidst skadelig adfærd som kan rejse mistanke om bevidste sikkerhedshuller.

Hvis man følger it nyheder på version2, the register, wired, osv. så myldrer det med artikler om sikkerhedshuller i Intel chips, Cisco routere, Microsof windows, Apple produkter, osv. Jeg ser ingen tendens til at der er nogen der hænges mere ud end andre. Fejl og sikkerhedhuller skal selvfølgelig dækkes når de kommer til pressens kendskab - hvor Huawei så lige for tiden har fået nogle forklaringsproblelmer. Men det er ikke længe siden at f.eks. Intel måtte stå for skud i månedsvis for Management Engine, Meltdown, Spectre, osv. og nu har Huawei så bragt sig selv i fedtefadet - tag en tudekiks :-)

  • 0
  • 0
Magnus Jørgensen
  • 3
  • 1
Michael Cederberg

Jo, men se det ville jo netop være journalistik. Men det er ikke det denne artikkel gør.

Kan du ikke forklare præcist hvad der er galt med artiklen. Nu har jeg læst den en gang til. Den fortæller om en Huawei sikkerhedsfejl og om hvordan Microsoft har noget software der i dette tilfælde detectede denne fejl.

Hvad er det der gør denne artikel til en del af "den handelskrig som USA's præsident Trump har ført siden sin indsættelse"?

At forvente at en tilfældig journalist på version2 er i stand til at dykke dybt ned i den slags historier er vist at forvente for meget. Jeg tror ikke 95% af alle software udviklere i Danmark forstår hvad det handler om. Ydermere tror jeg ikke man skal forvente Huawei (eller nogen anden virksomhed) vil have lyst til at lufte deres snavsede vasketøj offentligt.

Men hvis vi lægger dit automatforsvar af Huawei til side så vil det være interessant at diskutere følgende:

  • Hvorfor dukkede fejlen op?
  • Hvordan vil malware fra leverandører i fremtiden omgå Microsofts nye sikkerhedsmekanisme?
  • Hvad kan Microsoft og andre producenter/udviklere af operativ systemer der accepterer drivere som binary blobs gøre for at for at standse dette (lige nu kører disse drivere i samme "ring" som operativsystemet).
  • 1
  • 2
Magnus Jørgensen

Kan du ikke forklare præcist hvad der er galt med artiklen. Nu har jeg læst den en gang til. Den fortæller om en Huawei sikkerhedsfejl og om hvordan Microsoft har noget software der i dette tilfælde detectede denne fejl.

Der er som sådan ikke noget galt med artiklen. Jeg pointerer bare at der er tale om en ensidig dækning.
I følgende citering fra artiklen:

»Hov, hvad var det? Det ser mærkeligt ud.«

Sådan kan det i princippet have lydt fra de sikkerhedsforskere hos Microsoft, der har gennemgået koden i en driver fra kinesiske Huawei og fundet frem til en sårbarhed, der tillader lokal rettigheds-eskalering.

Det er explicit at der ikke er tale om et citat fra en MS medarbejder. Der er derfor tale om spekulation om en reaktion fra en MS medarbejder. Dette citat fra artiklen er udformet så læseren får indtrykket af at fejlen i Huawei's driver er bevidst placeret. Det er derfor en meningsdanner der er baseret på spekulation som er basis for artiklen.

Denne menings danner er ikke til Huawei's fordel, derfor er dækningen i artiklen ensidig.

  • 3
  • 3
Michael Cederberg

Det er explicit at der ikke er tale om et citat fra en MS medarbejder. Der er derfor tale om spekulation om en reaktion fra en MS medarbejder.

Nu er du sgu for langt ude. Her er hvad der står i det originale blog indlæg fra Microsoft:

While monitoring alerts related to kernel-mode attacks, one alert drew our attention ...

... The alert process tree showed an abnormal memory allocation and execution in the context of services.exe by a kernel code. Investigating further, we found that an identical alert was fired on another machine around the same time.

To get a better understanding of the observed anomaly, we looked at the raw signals we got from the kernel sensors. This analysis yielded the following finding ...

Det lyder rigtigt meget som »Hov, hvad var det? Det ser mærkeligt ud.«

Der er som sådan ikke noget galt med artiklen. Jeg pointerer bare at der er tale om en ensidig dækning.

Som jeg og flere andre har nævnt, så er det også nonsens at snakke om ensidig dækning. Hvis du søger på version2 så vil du se et væld af firmaer repræsenteret når vi snakker sikkerhedsproblemer. Men det er rigtigt at Huawei er kraftigt diskuteret i relation til 5G netværket. Alt andet ville være uansvarligt. Fx. var der bekymrende lille diskussion om det da Huawei vandt 4G kontrakten hos TDC.

  • 2
  • 2
Jan Thomsen
  • 1
  • 3
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize