Dell: Windows-Treiber können weiterhin Kernel-Angriffe verursachen

Schon im Mai wurden fünf Schwachstellen in Treibern des Herstellers Dell gefunden. Obwohl ein Patch bereitgestellt wurde, können manche Lücken auch in Kombination mit den neuesten Treiber-Versionen ausgenutzt werden. Damit sind viele Windows-Systeme immer noch gefährdet. Die vor einigen Monaten entdeckten Sicherheitslücken wurden unter der Sammelbezeichnung CVE-2021-21551 registriert. Mit den Schwachstellen konnten Angreifer Privilegien erlangen und Code mit erweiterten Rechten ausführen. Die Probleme bezogen sich auf den Dell-Treiber dbutil_2_3.sys. Der Schweregrad wurde als hoch eingestuft. Die anfällige Treiber-Datei ist auf den meisten Dell-Systemen mit vorinstalliertem Windows vorhanden. Laut Borncity hatte Dell den Treiber schon vor Monaten aktualisiert, um die Schwachstellen zu beseitigen. Trotzdem haben Sicherheitsforscher von Rapid 7 jetzt herausgefunden, dass die Sicherheitslücken teilweise auch in aktuellen Treiber-Versionen existieren.

Dell stuft das Problem nicht als Risiko ein

Rapid 7 hat den Hersteller kontaktiert und auf das Problem hingewiesen. In der Antwort betont Dell, dass der Konzern das Problem nicht als Sicherheitsrisiko ansieht. Um einen Angriff durchführen zu können, sei eine bestimmte Berechtigungsstufe erforderlich. Damit gilt der Treiber gemäß der Microsoft-Definition als sicher. Während es stimmt, dass die Installation eines Treibers tatsächlich Admin-Rechte voraussetzt, lassen sich über die Sicherheitslücke Kernelangriffe durchführen. Hiermit haben Hacker die Option, Rootkits zu installieren.

Um dem Problem entgegenzuwirken, sollten betroffene Nutzer die Hypervisor Protected Code Integrity (HVCI) aktivieren. Außerdem sollte Secure Boot verwendet werden. Dass Microsoft die gefährdeten Dell-Treiber auf eine Blacklist setzt, ist eher unwahrscheinlich. Der Treiber wird benötigt, um die Firmware vieler Computer immer auf dem neuesten Stand zu halten.

Siehe auch: