'Dolby-programma kan beheerderstoegang geven op Lenovo-apparaten'

Het Dolby Audio-programma dat standaard aanwezig zou zijn op Lenovo-computers met Windows 10, kan gebruikt worden om beheerderstoegang op deze apparaten te verkrijgen. Dit komt omdat het programma is voorgeïnstalleerd met 'system'-permissies.

dolby permissionsHet gaat om het bestand DolbyDAX2API.exe, dat volgens het blog Obscure Channel normaal gesproken audiocomponenten aanstuurt op Lenovo-apparaten met Windows 10. Het probleem ligt in het feit dat de permissies van het uitvoerbare bestand standaard zijn ingesteld op 'system'-niveau, dit is het hoogste niveau op Windows-machines.

De aanval stelt voorop dat een gebruiker al lokale rechten op een machine heeft verkregen. Een aanvaller kan namelijk DolbyDAX2API.exe vervangen door een kwaadaardig bestand, dat hij kan oproepen door het Dolby Audio-programma te starten. Door de hoge permissies is het op die manier voor de aanvaller uiteindelijk mogelijk om een shell met beheerderstoegang te openen. Het is niet duidelijk of het Dolby-programma alleen op Lenovo-apparaten aanwezig is, of dat er ook andere fabrikanten zijn die het standaard meeleveren.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 26-01-2016 17:45
39 • submitter: Rafe

26-01-2016 • 17:45

39

Submitter: Rafe

Lees meer

Lenovo haalt rootkit weg uit bios meerdere laptopmodellen
Lenovo haalt rootkit weg uit bios meerdere laptopmodellen Nieuws van 12 augustus 2015
Update-tool Lenovo maakte gebruikers kwetsbaar voor aanval
Update-tool Lenovo maakte gebruikers kwetsbaar voor aanval Nieuws van 6 mei 2015
Kwetsbaarheden in bios maken vrijwel elke computer vatbaar voor malware
Kwetsbaarheden in bios maken vrijwel elke computer vatbaar voor malware Nieuws van 23 maart 2015
Lenovo brengt programma uit om Superfish-malware mee te verwijderen
Lenovo brengt programma uit om Superfish-malware mee te verwijderen Nieuws van 21 februari 2015
Maker Lenovo-malware: gebruikers waren niet kwetsbaar
Maker Lenovo-malware: gebruikers waren niet kwetsbaar Nieuws van 20 februari 2015
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Windows

Reacties (39)

-Moderatie-faq
39
39
35
7
2
0
Wijzig sortering

Sorteer op:

Weergave:
Killah_Priest 26 januari 2016 18:03
Um, hoe moet je een bestand in de program files folder vervangen zonder admin rechten? Dit gaat namelijk niet standaard (je moet zelfs elevated zijn wil je überhaupt iets in je program files kunnen wijzigen).

Vooralsnog klopt er weinig van dit artikel en is het eigenlijk een klein beetje schandalig dat dit überhaupt zo op tweakers.net terecht is gekomen.

Overigens draait er zoveel onder system, een groot deel van de services moeten wel als System draaien.

Edit : ik zie in de screenshot dat authenticated users full control hebben over de betreffende executable, hiermee zou het waarschijnlijk wel kunnen hoewel je volgens mij nog steeds elevated rechten moet hebben (een admin account heeft immers ook FC rechten op program files maar moet nog steeds elevaten wil die iets kunnen wijzigen)

[Reactie gewijzigd door Killah_Priest op 2 augustus 2024 04:19]

Eagle Creek @Killah_Priest26 januari 2016 19:06
Het originele blog duidt het probleem wat concreter.

Het probleem zit in het feit dat de service met systempermissies draait en de binnen de service opgeroepen applicatie te overschrijven is door elke gebruiker. Daarmee creëerden de makers een risico door hun service met hoge permissies elke willekeurige applicatie aan te laten roepen.

Het blog ligt nog toe dat de Dolby service na 5 seconden stopt omdat het oorspronkelijke bestand is overschreven maar dat dit eenvoudig is te omzeilen door de kwaadaardige applicatie naar een ander proces te migreren. Er is dus geen enkele mitigerende maatregel.

Resultaat: Onder een account met beperkte rechten, kwaadaardige applicaties met systemrechten starten.

Het artikel mag wel iets scherper wat mij betreft. "voorgeïnstalleerd met 'system'-permissies." dekt de lading niet helemaal.

[Reactie gewijzigd door Eagle Creek op 2 augustus 2024 04:19]

looc @Eagle Creek27 januari 2016 06:36
Sterker nog, enige wat je hoeft te doen is een kwaadaardige DLL naar de map met de .exe te slepen.
Standaard laadt windows alle .DLL bestanden in de map waar de executable staat, zodra deze opstart. Gewoon een kwestie van .DLL plaatsen en de pc opnieuw starten. Of gewoon wachten tot de gebruiker dat zelf doet
Devion @looc27 januari 2016 11:18
Incorrect, Windows laad niet alle DLL's in een directory waar de executable staat. Alleen referenced DLL's worden ingeladen en daar zit het probleem dan ook, mocht de applicatie bijv gebruik maken van XAudio (DX Audio) dan zou je een fake DLL in de map kunnen zetten en windows pakt die zonder problemen op en kijkt niet meer verder (search path order, maw: eerst in eigen directory, daarna pas in system32/etc.)

Maar Windows zal nooit zomaar wat DLL's gaan inladen in de map waar de app staat.
Bliksem B @Eagle Creek27 januari 2016 00:54
Het originele blog duidt het probleem wat concreter.

Het probleem zit in het feit dat de service met systempermissies draait en de binnen de service opgeroepen applicatie te overschrijven is door elke gebruiker. Daarmee creëerden de makers een risico door hun service met hoge permissies elke willekeurige applicatie aan te laten roepen.

Het blog ligt nog toe dat de Dolby service na 5 seconden stopt omdat het oorspronkelijke bestand is overschreven maar dat dit eenvoudig is te omzeilen door de kwaadaardige applicatie naar een ander proces te migreren. Er is dus geen enkele mitigerende maatregel.

Resultaat: Onder een account met beperkte rechten, kwaadaardige applicaties met systemrechten starten.

Het artikel mag wel iets scherper wat mij betreft. "voorgeïnstalleerd met 'system'-permissies." dekt de lading niet helemaal.
Die driver is sowieso slecht. Dolby heeft 0,0% toegevoegde waarde. Jack detectie crasht vaak, waardoor je de pc moet herstarten om je koptelefoon te vinden. De driver wordt ook geïnstalleerd wanneer je een RTM versie pakt. En de dolby functie zit ook in de Realtek variant.

Mijn advies: de lenovo driver verwijderen, rustig de microsoft driver blijven gebruiken en downloads: O&O ShutUp10 1.3.1354 gebruiken om third parties drivers te blokken.
Devion @Bliksem B27 januari 2016 11:20
Dolby heeft nut om lokaal te kunnen encoden voor je hdmi/spdif output als de receiver 't niet voor je kan doen (bijv. de Logitech 5500 doet alleen Dolby en geen DTS, met deze service kan je dan zorgen dat je altijd dolby output stuurt ipv DTS).

Enne.. .Jack detection is van de driver zelf, niet van dolby
Bliksem B @Devion27 januari 2016 13:59
Dolby heeft nut om lokaal te kunnen encoden voor je hdmi/spdif output als de receiver 't niet voor je kan doen (bijv. de Logitech 5500 doet alleen Dolby en geen DTS, met deze service kan je dan zorgen dat je altijd dolby output stuurt ipv DTS).

Enne.. .Jack detection is van de driver zelf, niet van dolby
Dolby is (ook) geïntegreerd in de officiële Realtek driver. De dolby setting vervangt microsoft verbeteringen in het eigenschappenscherm. Het staat standaard aan en klinkt erg blikkerig.

Ik snapte dat het dolby digital kan uitsturen en waardeer dat dit kan. Echter, zullen er weinig mensen zijn die er gebruik van maken. Daarom is het erg storend dat het standaard aanstaat. De meeste mensen weten dit niet eens en denken dat het geluid van de laptop gewoon slecht is.
R4gnax
@Killah_Priest26 januari 2016 20:45
Um, hoe moet je een bestand in de program files folder vervangen zonder admin rechten? Dit gaat namelijk niet standaard (je moet zelfs elevated zijn wil je überhaupt iets in je program files kunnen wijzigen).

[...]

Edit : ik zie in de screenshot dat authenticated users full control hebben over de betreffende executable, hiermee zou het waarschijnlijk wel kunnen hoewel je volgens mij nog steeds elevated rechten moet hebben (een admin account heeft immers ook FC rechten op program files maar moet nog steeds elevaten wil die iets kunnen wijzigen)
Elevated permissions op token-split administrator accounts m.b.v. UAC is in Windows 8 en hoger een wassen neus. Er zit in de implementatie van UAC in Windows 8 en hoger een bug die, onder de standaard instellingen tenminste, het mogelijk maakt om de elevation permission prompts te bypassen en gewoon instructies onder de volle permissie-set van het admin token uit te voeren.

Zie: https://code.google.com/p...arch/issues/detail?id=156

Microsoft gaat hiervoor, als we de discussie in bovenstaand bug report mogen geloven, ook niet eens meer een security bulletin voor uitbrengen, aangezien ze zelf UAC niet meer als security boundary zien, laat staan dat er nog ooit een patch voor gaat komen.

Draai je Windows 8.1 of hoger? Beter dat je dan maar alles onder een normale user account doet en een compleet gescheiden administrator account hanteert...

[Reactie gewijzigd door R4gnax op 2 augustus 2024 04:19]

Joop @R4gnax26 januari 2016 23:17
Ik kende dit issue niet, zojuist even getest op mijn Windows 10 systeem, maar daar kan ik het niet reproduceren. Krijg gewoon een Access Denied als ik dit draait vanuit een non-elevated Powershell.

Het is dus ofwel gefixt of er is nog een extra (onbekende) factor die een rol speelt bij of dit wel of te te misbruiken is.
SuperDre @Killah_Priest26 januari 2016 18:21
Juist, er staat ook dat de gebruiker wel lokale rechten moet hebben (en dat is dus nodig voor het vervangen van die exe), tja, dan is het probleem wel wat groter dan alleen dit.. Vind het dus ook een beetje 'yeah het klinkt ernstig dus laten we er een artikel over schrijven'..
enuh ik zie dat jij ook weer goed gemint bent terwijl jouw post toch eigenlijk niets bevat dat in de moderating FAQ staat waarvoor je een min mag geven.....
Joop @Killah_Priest26 januari 2016 23:15
Dat is niet helemaal hoe UAC werkt. De UAC prompt krijg je alléén als je toegang wilt gebruiken die is toegekend via de Administrators groep. Stel je hebt rechten op een bepaald bestand alléén via de Administrators groep, dan zal je een UAC prompt krijgen. Maar als je de rechten op het bestand aanpast zodat naast de Administrators groep ook jouw persoonlijke account (of een andere groep waar je lid van bent) rechten heeft, dan zul je geen UAC prompt meer krijgen. Je heb namelijk de rechten via de Administrators groep niet meer nodig.

Zo is het dus ook bij Authenticated Users. Iedereen met een geldig account op het systeem is daar impliciet lid van en heeft in dit geval dus rechten. UAC komt er dan niet meer bij kijken.
CrashKonijn 26 januari 2016 17:54
Is dit ook een ding als je een lenovo apparaat hebt gekocht waar je achteraf een schone Windows 10 op hebt gezet? (Ik heb verder geen speciale lenovo drivers oid gedownload)
Snake @CrashKonijn26 januari 2016 20:16
Ja, dat kan, er is een functionaliteit voorzien in Windows om iets te laden uit de bios:
Instead, a file called "wpbbin.exe" was placed in C:\windows\system32 and executed. That turns out to be a method Microsoft introduced with Windows 8 to allow the BIOS to execute code on boot up (!?!) called "Windows Platform Binary Table (WPBT)". I can find almost NOTHING about this anywhere on the internet except a single document on Microsoft's website (link to the Google Cache since it's a .docx file) and in a random Chinese forum (in Chinese, which I can't read, but it seemed to be about Lenovo).
http://arstechnica.com/ci...d9aad17023579ff#p29544745 (bron van de quote)

http://download.microsoft...latform-binary-table.docx (het document van Microsoft)

http://www.howtogeek.com/...ck-after-a-clean-install/ (gemakkelijker uitgelegd)

Met dit kan zelfs een clean install worden 'vervuild'.
jimz93 @CrashKonijn26 januari 2016 17:56
Dan niet nee ;)

Dit is een programma wat Lenovo blijkbaar pre-installed op laptops. Dat kan pas op het moment dat Windows geïnstalleerd is.

Bij een schone installatie is er dus geen reden om je zorgen te maken :)
Armin
@jimz9326 januari 2016 18:17
Tenzij je daarna zelf dat Dolby programma installeerd. Immers het kern-probleem is dat het een onderdeel van het programma installeert op een user-write-toegankelijke locatie, maar dat dan onder het system-account uitvoert. Het is dus een fout van de installatie-procedure, en daarbij maakt het zo goed als zeker niet uit of het een voorinstallatie is, of zelf-installatie.

Tenzij beide programma's een andere setup gebruiken. Dat kan, maar is vaak niet zo.

Voor eind-gebruikers is het overigens doorgaans geen echt probleem, want de eindgebruiker is al reeds administrator. Eventuele malware zou het kunnen gebruiken als tweede trap in een aanval om zichzelf systeem toegang te geven, maar dan nog moet jij het al eerst geinstallerd hebben als eindgebruiker.

Het is vooral bij enterprise omgevingen gevaarlijk, waar de gebruiker niet de eigenaar van de PC is.
R4gnax
@jimz9326 januari 2016 20:36
Bij een schone installatie is er dus geen reden om je zorgen te maken :)
Oh jawel hoor. Daar mag je het bestaan van de Windows Platform Binary Table (WPBT) in UEFI voor bedanken.

Als ze deze prutzooi daar ingeduwd hebben kom je er mooi niet vanaf.

[Reactie gewijzigd door R4gnax op 2 augustus 2024 04:19]

Verwijderd @jimz9327 januari 2016 00:32
Eerst was zelfs clean install niet veilig omdat de buis vervuilt was.
Verwijderd @CrashKonijn26 januari 2016 17:56
Er staat toch duidelijk:
...het programma is voorgeïnstalleerd met 'system'-permissies.....

Dus heel simpel, 'Neen"
CrashKonijn @Verwijderd26 januari 2016 17:58
Het kan toch, sinds Windows 8 doe ik 0 moeite voor driver omdat Windows deze zelf binnen haalt. Dat kan toch ook betekenen dat deze driver ook automatisch op mijn lapop binnen komen.
oef! @CrashKonijn26 januari 2016 19:58
Nope, je zult nooit een dolby programma via Windows update binnenkrijgen. Hoogstens een driver maar die zal niet met verkeerde rechten geïnstalleerd worden (is niet eens van toepassing)
R4gnax
@oef!26 januari 2016 20:34
Nope, je zult nooit een dolby programma via Windows update binnenkrijgen. Hoogstens een driver maar die zal niet met verkeerde rechten geïnstalleerd worden (is niet eens van toepassing)
Vanaf Windows 8 is het mogelijk voor OEMs om binaries die altijd met het OS meegeinstalleerd moeten worden in een UEFI moederbord in te bakken.

Van Lenovo is al bekend dat ze dit in een flink aantal laptop modellen met hun branded system update utility gedaan hebben, zodat je er als gewone gebruiker met geen mogelijkheid af kunt komen. (Ook deinstalleren helpt niet; herinstalleert zichzelf vrolijk bij de eerstvolgende reboot.)
ScorcH @CrashKonijn26 januari 2016 17:56
Nee, het geldt alleen voor de voorgeïnstalleerde Windows.

Lenovo heeft het programma niet juist geïnstalleerd. Wanneer je dit zelf doet is het eerst niet aanwezig en zal je het zelf waarschijnlijk juist installeren.

[Reactie gewijzigd door ScorcH op 2 augustus 2024 04:19]

Nicael @CrashKonijn26 januari 2016 17:57
Waarschijnlijk is dat dan niet het geval. Anders de combinatie "Windows"-knop+F gebruiken waarna je de zoekopdracht DolbyDAX2API.exe invult. Als het bestand dan niet word gevonden dan hoef je je geen zorgen te maken,
CrashKonijn @Nicael26 januari 2016 17:59
Ga ik morgen meteen even proberen. Thanks!
mxcreep @CrashKonijn26 januari 2016 18:09
Die schone installatie is op een Lenovo wel een must blijkbaar, is al niet het eerste stukje software waarmee ze op deze manier in het nieuws komen.
Verwijderd 26 januari 2016 17:55
De aanval stelt voorop dat een gebruiker al lokale rechten op een machine heeft verkregen.
Is het kwaad daarmee niet allang geschied in de meeste gevallen?
Afgezien van het feit dat het deze rechten gewoon slecht zijn lijkt me dit concreet alleen exploiteerbaar door bijvoorbeeld gebruikers met verminderde rechten op bijvoorbeeld een bedrijfslaptop.
downtime @Verwijderd26 januari 2016 18:01
Ja, en dat lijkt me ernstig genoeg, aangezien heel wat van die mensen trucs zoeken om toch meer rechten te krijgen en daar lang niet altijd zorgvuldig mee omspringen.
Verwijderd @downtime26 januari 2016 18:13
Ik suggereer ook niet dat dit maar weggewuifd moet worden, maar het raakvlak is relatief laag dus. Titel van het artikel suggereerde (m.i.) iets met zwaardere implicaties.
Sebazzz @Verwijderd26 januari 2016 18:04
Of voor malware. Die heeft dan geen admin-rechten nodig om de executeable te overschrijven die met hoge permissies wordt aangeroepen ;)
Verwijderd @Sebazzz26 januari 2016 18:09
Zeker een puntje. Maargoed de laatst malware die ik tegen ben gekomen die zich liet tegenhouden door wat rechten links en rechts is al weer een tijdje gelden.
bommel 26 januari 2016 18:07
Ik zie het probleem niet, het programma staat in Program Files dwz dat je admin rechten nodig hebt om het programma te starten. Als je Admin rechten hebt kun je altijd System worden.

Voorbeeld: RunAsSys
R4gnax
@bommel26 januari 2016 20:46
Ik zie het probleem niet, het programma staat in Program Files dwz dat je admin rechten nodig hebt om het programma te starten.
Read & execute permissions heeft elke ingelogde gebruiker op Program Files.
Wordt anders een beetje moeilijk om spul zoals Wordpad en Paint te starten, heh?
bommel @R4gnax26 januari 2016 20:52
Je hebt gelijk, ik bedoelde "te vervangen" maar schreef "te starten"...

Maar goed er is geen privilege escalation van admin naar system omdat je met admin altijd system kunt worden was mijn punt. Als de permissies op deze executable zodanig ingesteld zijn dat een gebruiker de executable kan vervangen is dat idd slordig maar ook gemakkelijk op te lossen lijkt me.
Joop @bommel26 januari 2016 23:23
Als je het screenshot bekijkt zie je dat Authenticated Users (iedereen dus met een geldig account op het systeem) het bestand mag schrijven en dus kan vervangen door een ander bestand. Als het bestand automatisch als SYSTEM wordt uitgevoerd (wat kennelijk zo is) dan is dat dus wel een elevation of privilege. Namelijk vanaf een willekeurige Authenticated User naar SYSTEM.
shicomm 26 januari 2016 19:11
Dankzij de media creation tool is er nu helemaal geen excuus meer ; activeren en daarna onmiddelloos een schone install doen...

Wel jammer dat dit soort ellende de naam van lenovo omlaag schopt...
Ben erg content met hun laptops en verkoop ze ook graag.
R4gnax
@shicomm26 januari 2016 20:47
Dankzij de media creation tool is er nu helemaal geen excuus meer ; activeren en daarna onmiddelloos een schone install doen...
En dankzij de Windows Platform Binary Table in UEFI is een schone install ook niet meer schoon.
(Veel plezier met de firmware op je mobo te flashen met een custom ROM die die troep eruit haalt...)
Verwijderd 26 januari 2016 19:00
Ze kunnen er wat van bij Lenovo, ik word er stilaan achterdochtig van.
Verwijderd 27 januari 2016 09:46
Sowieso is dit een draak van een tool/driver. Op Lenovo Thinkpads met Windows 8.1 zorgde juist deze tool voor vreemde geluiden. Als je bijvoorbeeld een UAC melding kreeg, gebeurde dit met een snerpend geluid/ hoge pieptoon. Zeer irritant voor jezelf, maar ook als je de laptop ergens gebruikte schrokken mensen zich kapot. Ook na de upgrade naar Windows 10 deed dit zich nog voor. Gelukkig was het probleem na een clean install van Windows 10 opgelost, vermoedelijk wordt deze tool/driver dan niet meer mee geinstalleerd. Kan dat nu even niet checken aangezien ik laptop niet bij de hand heb.
Pihkal 26 januari 2016 20:32
Als je fysieke toegang hebt kan je toch gewoon met Konboot booten, toegang tot ALLE lokale accounts inclusief de Admin account.
Gebruik het zelf regelmatig om pc's terug te joinen met het domein op het werk.
Om 1 of andere reden krijgen de domein admins het lokale admin paswoord niet, Konboot booten en problem solved!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq