CVE-2016-20085: Realtek HD Audio Driver sårbarhed
Fejl i Realtek HD Audio-driver giver lokale angribere mulighed for at overtage din computer med systemrettigheder.
Hvad er det?
Realtek High Definition Audio Driver version 6.0.1.6730 har en fejl kaldet ‘unquoted service path’ (en sti til et program der ikke er sat i anførselstegn). Windows leder efter programfiler langs denne sti, og hvis anførselstegn mangler, kan Windows forveksle en ondsindet fil med den rigtige. En angriber med almindelig brugeradgang kan placere et skadeligt program i den forkerte sti, og næste gang tjenesten genstartes, kører det skadelige program med fulde systemrettigheder — som om det var operativsystemet selv.
Hvem rammer det?
Alle Windows-computere med Realtek HD Audio Driver version 6.0.1.6730 installeret er potentielt sårbare. Realtek HD Audio er en meget udbredt lydchip, der sidder i et stort antal stationære pc’er og bærbare computere fra mange producenter — herunder Dell, HP, Lenovo og Asus. Risikoen er størst, hvis en angriber allerede har fysisk eller fjernadgang til computeren med en almindelig brugerkonto.
Hvad kan ske?
En angriber der udnytter denne sårbarhed kan:
- Opnå fuld kontrol over computeren med de højeste systemrettigheder (såkaldt ‘LocalSystem’)
- Installere skadelig software, ransomware eller bagdøre uden at blive opdaget
- Læse, ændre eller slette alle filer på computeren
- Sprede sig videre til andre systemer på jeres netværk
- Omgå sikkerhedsprogrammer, da angrebet kører som selve operativsystemet
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale sikkerhedsorgan CVSS. Angrebet kræver ikke avancerede tekniske færdigheder, og kompleksiteten er lav. Det kræver dog, at angriberen allerede har adgang til computeren med en almindelig brugerkonto — det kan eksempelvis være en utilfreds medarbejder, en ekstern konsulent eller en angriber der har fået fodfæste via phishing. Konsekvenserne er til gengæld meget alvorlige: fuld kontrol over fortrolighed, integritet og tilgængelighed af alle data på maskinen.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du konkret gør:
- Identificér sårbare computere: Bed din IT-ansvarlige eller leverandør om at tjekke, om Realtek HD Audio Driver version 6.0.1.6730 er installeret på jeres computere. Det kan gøres via Windows Enhedshåndtering eller et IT-administrationssystem.
- Opdatér driveren: Hent den nyeste version af Realtek HD Audio-driveren fra din computerproducents hjemmeside (f.eks. Dell, HP eller Lenovo) eller fra Realteks officielle side. Installer opdateringen på alle berørte enheder.
- Begræns lokale brugerrettigheder: Sørg for at medarbejdere kun har de rettigheder de har brug for — ingen bør have administratorrettigheder til daglig brug, medmindre det er nødvendigt.
- Overvåg for mistænkelig aktivitet: Gennemgå logfiler for uventede programkørsler eller tjenestegenstarter, særligt på maskiner med følsomme data.
- Kontakt jeres IT-leverandør: Hvis I er i tvivl om status, så kontakt jeres IT-partner og bed om en gennemgang af berørte systemer.
Opdatér inden for 14 dage
Auroa anbefaler, at du prioriterer opdatering af Realtek HD Audio-driveren på alle berørte Windows-computere hurtigst muligt. Selvom angrebet kræver lokal adgang, er det en lav barriere i mange virksomheder — særligt hvis I har medarbejdere, konsulenter eller gæster der bruger jeres udstyr. Kombinér opdateringen med en gennemgang af, hvem der har hvilke rettigheder på jeres computere, så I minimerer risikoen fremadrettet.
Tidslinje
Konkrete eksempler
Insider-trussel via almindelig brugerkonto
En medarbejder med en helt normal Windows-brugerkonto opdager, at Realtek-driverens servicesti ikke er sat i anførselstegn. Medarbejderen placerer et lille program med et bestemt navn i en mappe tidligere i stien. Næste gang computeren genstarter og tjenesten starter op, kører Windows utilsigtet medarbejderens program med fulde SYSTEM-rettigheder — og medarbejderen har nu komplet kontrol over maskinen og kan tilgå alle data og systemer.
Angriber med fodfæste via phishing
En angriber sender en phishing-mail til en medarbejder, der klikker på et link og uforvarende installerer et lille fjernadgangsprogram. Angriberen har nu adgang med medarbejderens rettigheder — men ønsker fuld systemkontrol. Ved at udnytte Realtek-driverens unquoted service path placerer angriberen en ondsindet fil og venter på at tjenesten genstarter. Herefter har angriberen ubegrænset adgang til hele systemet og kan sprede sig til resten af netværket.
Ransomware-angreb med eskalerede rettigheder
En ransomware-variant udnytter Realtek-sårbarhedens unquoted service path som et trin i et større angreb. Malwaren starter med begrænsede brugerrettigheder, men bruger fejlen til at eskalere til SYSTEM-niveau. Derfra kan den kryptere alle filer på computeren — inklusive sikkerhedskopier og delte netværksdrev — og deaktivere antivirussoftware, inden den kræver løsesum.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-fejl?
Det er en fejl hvor stien til et programs fil ikke er sat i anførselstegn i Windows. Normalt er det harmløst, men Windows kan misfortolke stien og komme til at køre en anden fil i stedet. En angriber kan udnytte dette ved at placere et ondsindet program der, hvor Windows leder — og på den måde få det kørt med høje rettigheder.
Skal angriberen sidde fysisk ved min computer?
Ikke nødvendigvis. Angriberen skal blot have en brugerkonto på computeren — det kan også ske via fjernadgang, f.eks. hvis en medarbejders konto er kompromitteret gennem phishing. En insider-trussel (utilfreds medarbejder) er også et reelt scenarie.
Hvordan ved jeg om min virksomhed er berørt?
Du kan bede din IT-ansvarlige om at tjekke versionsnummeret på Realtek HD Audio-driveren på jeres computere. Det gøres via Windows Enhedshåndtering under ‘Lyd, video og spilcontrollere’. Er versionen 6.0.1.6730, er I berørt og bør opdatere.
Er det kun gamle computere der er sårbare?
Nej. Realtek HD Audio-chippen sidder i mange moderne computere, og driveren opdateres ikke altid automatisk. Selv relativt nye maskiner kan have den sårbare version installeret, hvis driverne ikke er holdt opdaterede.
Hjælper mit antivirusprogram ikke mod dette?
Antivirusprogrammer kan opdage kendte skadelige filer, men angrebsmetoden udnytter en legitim Windows-mekanisme. Det betyder at visse angrebsvarianter kan undgå at blive opdaget. Opdatering af driveren er den eneste pålidelige løsning.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Realtek High Definition Audio Driver 6.0.1.6730 contains an unquoted service path vulnerability that allows local attackers to escalate privileges by placing a malicious executable in the service path. Attackers can insert an executable file in the unquoted path and restart the service to execute code with LocalSystem privileges.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
