Alert!

Windows-Treiberpaket für Realtek-Soundkarten weist Sicherheitslücke auf

Eine Lücke mit hoher Risiko-Einstufung im Realtek HD Audio Driver Paket erlaubt lokale Angriffe. Ob Updates verfügbar sind, ist derzeit unklar.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 69 Beiträge

(Bild: Eviart/Shutterstock.com)

Von

Im Realtek HD Audio Driver Package, das auf Windows- PCs mit Realtek-Soundkarten zum Einsatz kommt, steckt eine Sicherheitslücke. Von ihr geht laut Realtek ein hohes Risiko aus; allerdings kann sie lediglich von lokalen Angreifern mit Adminrechten ausgenutzt werden.

Der Hersteller hat die Lücke nach eigenen Angaben bereits im Dezember 2019 mit einer neuen Treiberversion beseitigt, jedoch erst kürzlich einen entsprechenden Sicherheitshinweis nebst Verweis auf einen Patch veröffentlicht. Wo Nutzer diesen Patch finden können, ist allerdings unklar.

Der Entdecker der Lücke mit der CVE-Nummer CVE-2019-19705, Peleg Hadar von SafeBreach, nennt in einem Blogeintrag auf der SafeBreach-Website Angriffsdetails.

Demnach würde ein potenzieller Angreifer sowohl lokalen Zugriff als auch Admin-Rechte benötigen. Sofern diese Voraussetzungen erfüllt sind, kann er Code aus einer eigenen (Schadcode-)DLL im Kontext der Treiber-Software zur Ausführung bringen, indem er die DLL im selben Verzeichnis platziert wie die Software. Auf diesem Wege lassen sich dauerhaft App-Whitelisting-Mechanismen austricksen und der Code auch dann immer wieder zur Ausführung bringen, wenn der Angreifer nicht mehr als Admin am Rechner angemeldet ist.

Der Angriff ist laut Hadar zum einen deshalb möglich, weil beim Laden der DLL keine Signaturprüfung durchgeführt werde. Zum anderen komme im verwundbaren Treiberpaket Microsoft Visual Studio 2005 MFC zum Einsatz, welches DLL-Dateien mit bestimmten Eigenschaften automatisch lade.

Betroffen ist (mindestens) die Treiber-Paket-Version 1.0.0.8855. Diese jedenfalls wird in einem im Januar veröffentlichten Sicherheitshinweis von Realtek konkret genannt. Hadar wiederum zitiert Realtek mit den Worten: "The driver version earlier than 8855 was using the old version of the Microsoft development tool (VS2015)".

Welche Rückschlüsse daraus zu ziehen sind, schreibt Hadar nicht. Im Hinblick auf die abgesicherte Version beruft er sich ebenfalls auf Realtek und gibt (1.0.0.)8857 oder höher an. Realtek selbst nennt im Sicherheitshinweis Version (1.0.0.)8856 als Patch. Im Zweifel empfiehlt es sich, Ausschau nach einer möglichst aktuellen Version zu halten.

Problematisch an den Versionshinweisen ist, dass weder Realtek noch Peleg Hadars Blogeintrag eine Download-Möglichkeit des aktualisierten Treibers angibt. Auf der Website von Realtek finden sich lediglich ältere Treiberpakete von 2017/18.

Eine kurze Internetrecherche fördert angebliche Treiber-Updates auf eher dubios wirkenden Websites zutage. Im Windows-Blog von Günter Born findet sich gar ein Leserhinweis darauf, dass ein Besucher von einer solchen Website bei einem Scan die Schadsoftware Emotet in vermeintlichen Realtek-Treiberdateien entdeckt haben will.

Auf den Datei-Download von eher fragwürdigen Websites sollte man lieber verzichten.

(Bild: Screenshot)

Der Download von Treibern aus fragwürdigen Quellen kann letztlich mehr Schaden anrichten als die Sicherheitslücke selbst; somit ist dringend davon abzuraten.

Eine Timeline in Peleg Hadars Blog deutet an, dass, anders als Realteks Sicherheitshinweis vermuten lässt, möglicherweise noch gar kein Treiber-Update vorliegt. Dort ist nämlich nur von einem Treiber im Beta-Stadium die Rede, den Realtek im vergangenen Dezember (im Rahmen der Zusammenarbeit während des Responsible-Disclosure-Prozesses) an SafeBreach übermitteln wollte.

heise Security hat sowohl bei SafeBreach als auch bei Realtek nachgehakt. Eine Antwort steht noch aus; wir werden diese Meldung aktualisieren, sobald sie uns vorliegt.

Update 06.02.20, 16:18: Beschreibung der potenziellen Auswirkungen des Schadcodes ergänzt (Whitelisting Bypass, Persistenz). (ovw)