Microsoft ontdekte onveilige Huawei-driver via Windows Defender ATP

Huawei’s MateBooks met daarop de eigen PCManager-software actief, liepen een potentieel security-risico door een onveilige driver, zo ontdekte Microsoft. De fabrikant bracht in januari een update uit om het probleem te verhelpen.

Het interessantste van het verhaal, zoals Ars Technica opmerkt, is de manier waarop Microsoft het probleem heeft ontdekt. De onveilige driver werd gedetecteerd met behulp van nieuwe monitoringtools die in Windows 10 1809, de October 2018 Update, aan Windows Defender Advanced Threat Protection (ATP) werden toegevoegd.

Defender ATP maakt niet alleen gebruik van malwaredetectie op basis van gekende signaturen, maar voert ook gedragsanalyse uit om verdachte activiteit op te sporen wanneer niet meteen malware wordt geïdentificeerd. Elke verdachte beweging van software op een systeem wordt naar de cloud gestuurd om met behulp van machine learning te evalueren.

DoublePulsar

Zo werden in Windows 10 1809 monitoringtools toegevoegd om te speuren naar DoublePulsar-achtige aanvallen. DoublePulsar is een aanvalstechniek die werd ontwikkeld door de NSA, uiteindelijk naar buiten lekte en sindsdien ook in criminele milieus de ronde doet. Het werd onder meer al gebruikt in de WannaCry-ransomware.

DoublePulsar maakt misbruik van een legitiem proces, asynchronous procedure calls (APC), waarmee een thread tijdelijk kan worden omgeleid om zijn huidige functie te stoppen, eerst een andere functie uit te voeren en dan pas met de oorspronkelijke functie verder te gaan.

Bij een aanval wordt code naar het geheugen van een actief gepriviligeerd proces gekopieerd en krijgt het systeem vervolgens via een APC de opdracht om die code onmiddellijk uit te voeren. Individueel zijn beide stappen onschuldig, maar wanneer ze tezamen gebeuren, kan dat wijzen op een DoublePulsar-aanval.

Huawei-driver

Microsoft ontdekte dat een Huawei-driver voor de PCManager-software op MateBooks precies dat gedrag vertoonde. De driver deed dienst als een soort waakhond die in de gaten hield of een bepaalde service van PCManager actief bleef om het weer automatisch op te starten na een eventuele crash.

Daarvoor werd code geïnjecteerd in een gepriviligeerd Windows-proces, die vervolgens werd uitgevoerd via een APC. Een techniek uit het boekje van de NSA. Ars Technica merkt op dat er eigenlijk geen goede reden was voor Huawei om deze methode toe te passen: Windows heeft een ingebouwde functionaliteit om gecrashte services opnieuw op te starten.

Huawei had wel enkele maatregelen genomen om ervoor te zorgen dat de driver alleen met Huawei’s eigen service kon communiceren. Onjuiste toestemmingen zorgden er evenwel voor dat ook een onbevoegd proces in theorie de functie van de driver kon overnemen om langs deze weg een aanval uit te voeren en volledige toegang te krijgen tot het systeem.

Tweede kwetsbaarheid

De driver had bovendien nog een andere ernstige kwetsbaarheid, zo bleek uit verder onderzoek van Microsoft. Die gaf een aanvaller de mogelijkheid om aanpassingen in de kernel uit te voeren.

Huawei werd door Microsoft op de hoogte gesteld en verhielp de problemen in een update die begin januari verscheen. Gebruikers kunnen zich beschermen tegen de kwetsbaarheden door te verzekeren dat hun software up-to-date is of de PCManager-software te verwijderen.