Более 40 драйверов для Windows являются уязвимыми

2019-08-12 3550 комментарии
Исследователи Eclypsium обнаружили более 40 доверенных драйверов для Windows, которые могут быть использованы для переноса привилегий с пользовательского пространства на разрешения ядра

Более 40 драйверов для Windows являются уязвимыми

Исследователи компании Eclypsium, которые проанализировали безопасность легитимных драйверов, обнаружили, что более 40 драйверов от 20 производителей аппаратного обеспечения содержат уязвимости, которые могут быть использованы для повышения привилегий.

Поскольку драйверы также используются для обновления аппаратных прошивок, они могут достигать компонентов, работающих на еще более глубоком уровне, за пределами ОС, изменяя их принцип работы или полностью нарушая работоспособность.

Прошивки BIOS и UEFI являются низкоуровневыми программами, которые запускаются перед операционной системой, когда вы включаете компьютер. Вредоносное ПО, установленное в этих компонентах, невидимо для большинства решений безопасности (антивирусов) и не может быть удалено путем переустановки ОС.

Доверенные драйверы

Исследователи обнаружили более 40 драйверов, которые могут быть использованы для переноса привилегий с пользовательского пространства на разрешения ядра.

Список разработчиков, затронутых этой проблемой, включает всех основных производителей BIOS и крупных производителей компьютерного оборудования, таких как ASUS, Toshiba, Intel, Gigabyte, Nvidia и Huawei.

"Все эти уязвимости позволяют драйверу выступать в качестве прокси-сервера для выполнения высокопривилегированного доступа к аппаратным ресурсам, таким как доступ на чтение и запись в пространство ввода-вывода процессора и чипсета, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), физическая память и виртуальная память ядра".

Из ядра злоумышленник может перейти на встроенное ПО и аппаратные интерфейсы, что позволяет ему скомпрометировать целевой узел за пределами возможностей обнаружения обычных продуктов защиты от угроз, работающих на уровне ОС.

Установка драйверов на Windows требует прав администратора, при этом они должны быть от доверенных поставщиков, сертифицированных Microsoft. Код также подписывается авторизованными центрами сертификации для подтверждения подлинности. При отсутствии подписи Windows выдает предупреждение пользователю.

Исследование Eclypsium как раз относится к легитимным драйверам с действительными подписями, принятыми Windows. Эти драйверы не являются вредоносными, но содержат уязвимости, которыми могут использоваться вредоносными программами и агентами.

Еще хуже то, что эти драйверы влияют на все современные версии Windows, включая Windows 10.

"Эти проблемы относятся ко всем современным версиям Microsoft Windows, и в настоящее время не существует универсального механизма, который защитит компьютер Windows от загрузки одного из этих известных зараженных драйверов".

Исследователи говорят, что среди уязвимых драйверов они обнаружили некоторые, которые взаимодействуют с видеокартами, сетевыми адаптерами, жесткими дисками и другими устройствами.

Риск не гипотетический

Вредоносные программы, установленные в этих компонентах, "могут читать, записывать или перенаправлять данные, хранящиеся, отображаемые или передаваемые по сети". Кроме того, эти компоненты могут быть отключены, что приведет к отказу в обслуживании системы.

Атаки с использованием уязвимых драйверов не являются теоретическими. Они были выявлены в кибершпионских операциях, приписываемых хорошо финансируемым хакерам.

Группа Slingshot APT использовала старые уязвимые драйверы для повышения привилегий на зараженных компьютерах. Руткит Lojax от APT28 (также известный как Sednit, Fancy Bear, Strontium Sofacy) был более коварным, поскольку он помещался в микропрограмму UEFI через подписанный драйвер.

Сценарий атаки не ограничивается системами, в которых уже установлен уязвимый драйвер. Субъекты угрозы могут добавлять их специально для целей повышения привилегий и сохранения привилегий.

Варианты решений для снижения этой угрозы включают регулярное сканирование на наличие устаревших прошивок, а также применение последних исправлений драйверов от производителей устройств для устранения любых уязвимостей.

Ниже приводится неполный список пострадавших поставщиков, поскольку некоторые из них все еще находятся под эмбарго:

American Megatrends International (AMI)
ASRock
ASUSTeK Computer
ATI Technologies (AMD)
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
Micro-Star International (MSI)
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba
© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества