Werbung
Der chinesische Telekommunikationsausrüster Huawei ermöglichte es jetzt durch einen vorinstallierten Treiber, lokalen Angreifern diverse Prozesse mit Systemrechten auf den hauseigenen Matebooks auszuführen. Die kritische Sicherheitslücke wurde vom US-amerikanischen Unternehmen Microsoft entdeckt. Dies war möglich, da Microsoft mit der Windows-Version 1809 neue Kernel-Sensoren eingeführt hat.
Diese sind dafür gedacht, Kernel-Backdoors wie Doublepulsar zu erkennen. Besagte Backdoor wurde von der National Security Agency, auch bekannt unter dem Namen NSA, entwickelt und im Jahr 2017 von der Hackergruppe Shadowbroker geleakt. Huawei nutzt somit die gleiche Technologie um einen Dienst neu zu starten. Besagte Sicherheitslücke ist seit Januar allerdings geschlossen.
Der Windows Defender war aufgrund der neuen Kernel-Sensoren in der Lage, das verdächtige Verhalten des Huawei-Treibers festzustellen. Besagter Treiber prüfte, ob der Dienst des PC-Managers aktiv ist. Sollte dies nicht der Fall sein, da der Dienst beendet wurde oder abgestürzt ist, wurde dieser neu gestartet. Hierfür wurde vom Treiber Code über einen Asynchronous Procedure Call (APC) in einem privilegierten Windows-Prozess ausgeführt. Durch APCs ist es möglich, synchrone Bearbeitungen von Funktionen zu unterbrechen und die Bearbeitung einer anderen Funktion zu starten. Genannte Technologie kommt zum Beispiel bei I/O-Operationen zum Einsatz. Dadurch wird dem Betriebssystem das Starten von Schreib- und Lesevorgängen ermöglicht, ohne hierbei warten zu müssen.
Warum der chinesische Telekommunikationsausrüster mit Sitz in Shenzhen besagten Dienst verwendete ist unklar. Ob es sich dabei um eine der verbauten Backdoors handeln könnte, die von den Vereinigten Staaten von Amerika in der Vergangenheit bereits mehrfach erwähnt wurden, ist bis dato weder bestätigt noch dementiert worden. Zwar beschuldigen die USA Huawei-Produkte im Allgemeinen, jedoch lag der Fokus zuletzt auf Netzwerktechnik im Rahmen des 5G-Ausbaus.