Mittels automatisierter Tests, so genanntem Fuzzing, haben Sicherheitsforscher insgesamt 26 Programmierfehler in USB-Treibern entdeckt. 18 davon betreffen verschiedene Linux-Kernelversionen; wiederum zehn dieser Linux-Bugs erhielten aufgrund von ihnen ausgehender hoher Sicherheitsrisiken CVE-Nummern. Vier weitere Bugs betreffen Windows 8 und 10, drei stecken in macOS 10.15 Catalina und einer im freien BSD-Derivat FreeBSD 12.
Für elf der Linux-Bugs übermittelten die Forscher – teils schon Ende 2018 – Patches, die in die Kernel-Entwicklung einflossen. Akuter Handlungs-/Update-Bedarf besteht für Nutzer somit derzeit nicht (mehr). Das könnte sich allerdings noch ändern, denn aus Sicht der Forscher bestehen zumindest bei Apple und Microsoft weiterhin sicherheitsrelevante Probleme. Das Team stehe mit beiden Unternehmen in Kontakt, um eine CVE-Zuweisung für die gefundenen Probleme in die Wege zu leiten, teilte Mathias Payer, einer der Forscher, gegenüber heise Security mit. Während der Coronavirus-Pandemie hätten sie nur wenig Feedback von den Firmen erhalten.
Zur Frage, wie gravierend die noch offenen Probleme seien, äußerte sich Payer nicht. Dem frisch veröffentlichten Whitepaper zu den Erkenntnissen der Forscher ist zumindest zu entnehmen, dass zwei der macOS-Bugs zu einem ungeplanten Reboot und der dritte zum Einfrieren des Systems führen könnte. Unter Windows kann es zu "Blue Screens of Death" kommen. Unklar bleibt, ob, wie und mit welchem Aufwand Exploits möglich sind.
Open-Source-Fuzzer bei GitHub
Zur Durchführung ihrer Tests entwickelte und nutzte das aus Mathias Payer und Hui Peng bestehende Forscherteam ein plattformübergreifendes, speziell auf USB-Treiber abzielendes Tool namens USBFuzz. Dem Whitepaper zufolge emuliert das Werkzeug ein USB-Gerät, das zufällig generierte Gerätedaten an USB-Treiber übermittelt, sobald diese I/O-Operationen durchführen. Da USBFuzz auf Geräteebene arbeite, sei die Portierung auf verschiedene Plattformen sehr einfach.
Den Quellcode für USBFuzz wollen die Forscher in naher Zukunft in einem eigens angelegten GitHub-Repository bereitstellen. Zudem will das Team seine Forschungsergebnisse auch beim diesjährigen für den August geplanten Usenix Security Symposium vorstellen. Möglicherweise folgen dann auch weitere Informationen zu noch ausstehenden Fixes und CVE-Nummern.
Whitepaper "USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation"
Beseitigte Linux-Lücken waren teils kritisch
Auf Nachfrage von heise Security nannte Mathias Payer die zehn CVE-Nummern, die die Forscher 2018/19 bezüglich der Linux-Bugs erhielten. Den Verlinkungen zur National Vulnerability Database (NVD) sind neben Beschreibungen möglicher Angriffszenarien auch Hinweise auf die jeweiligen (durchweg schon lange verfügbaren) Kernel-Patches beziehungsweise aktualisierte Packages für verschiedene Distributionen zu entnehmen.
- CVE-2018-20169 (CVSS-Score 6.8/Medium)
- CVE-2018-19824 (CVSS-Score 7.8/High)
- CVE-2019-15098 (CVSS-Score 4.6/Medium)
- CVE-2019-15099 (CVSS-Score 7.5/High)
- CVE-2018-19985 (CVSS-Score 4.6/Medium)
- CVE-2019-15117 (CVSS-Score 7.8/High)
- CVE-2019-15118 (CVSS-Score 5.5/Medium)
- CVE-2019-15504 (CVSS-Score 9.8/Critical)
- CVE-2019-15505 (CVSS-Score 9.8/Critical)
- CVE-2018-20344: Hier fehlt der NVD-Eintrag, da der Status laut MITRE noch "Reserved" lautet. Laut Payer wurde aber auch dieser Bug bereits behoben und der Status sollte demnächst aktualisiert werden.
Die Tabelle nennt die Linux-Bugfixes der Forscher nebst jeweils betroffenen Kernel-Versionen und Treiber(-Komponenten) – leider ohne Zuordnung von CVE-Nummern.
Quelle: USBFuzz: Forscher spürten 26 USB-Treiber-Bugs in mehreren Betriebssystemen auf | heise online