分析合法設(shè)備驅(qū)動(dòng)程序安全性的研究人員發(fā)現(xiàn),來(lái)自至少20家硬件供應(yīng)商的40多名驅(qū)動(dòng)程序包含可能被濫用以實(shí)現(xiàn)權(quán)限提升的漏洞���。
硬件代表軟件所在的計(jì)算機(jī)的構(gòu)建塊。驅(qū)動(dòng)程序允許操作系統(tǒng)識(shí)別硬件組件并與之交互�����。
驅(qū)動(dòng)程序代碼支持OS內(nèi)核與硬件之間的通信����,享有比普通用戶和系統(tǒng)管理員更高的權(quán)限級(jí)別����。
因此�����,驅(qū)動(dòng)程序中的漏洞是一個(gè)嚴(yán)重的問題�����,因?yàn)樗鼈兛杀粣阂庑袨檎呃脕?lái)獲取對(duì)內(nèi)核的訪問權(quán)并獲得操作系統(tǒng)(OS)的最高權(quán)限��。
由于驅(qū)動(dòng)程序也用于更新硬件固件��,因此它們可以訪問在操作系統(tǒng)禁止的更深層次上運(yùn)行的組件�����,并改變它們的運(yùn)行方式或阻止它們��。
例如�����,BIOS和UEFI固件是在操作系統(tǒng)打開計(jì)算機(jī)之前啟動(dòng)的低級(jí)軟件。此組件中植入的惡意軟件對(duì)于大多數(shù)安全解決方案是不可見的���,并且無(wú)法通過(guò)重新安裝操作系統(tǒng)來(lái)刪除���。
司機(jī)值得信賴
固件和硬件安全公司Eclypsium的研究人員發(fā)現(xiàn)了40多個(gè)可能被濫用的驅(qū)動(dòng)程序�����,用于將特權(quán)從用戶空間提升到內(nèi)核權(quán)限���。
受影響的供應(yīng)商(列表在這里)包括所有主要的BIOS供應(yīng)商和計(jì)算機(jī)硬件業(yè)務(wù)中的大牌,如華碩����,東芝�����,英特爾,技嘉����,Nvidia或華為��。
“所有這些漏洞都允許驅(qū)動(dòng)程序充當(dāng)代理�����,以執(zhí)行對(duì)硬件資源的高權(quán)限訪問���,例如對(duì)處理器和芯片組I / O空間的讀寫訪問,模型特定寄存器(MSR)�����,控制寄存器(CR)��,調(diào)試寄存器(DR)��,物理內(nèi)存和內(nèi)核虛擬內(nèi)存������! - Eclypsium
從內(nèi)核中���,攻擊者可以轉(zhuǎn)移到固件和硬件接口,從而使目標(biāo)主機(jī)能夠超越正常威脅防護(hù)產(chǎn)品(在操作系統(tǒng)級(jí)別運(yùn)行)的檢測(cè)能力�。
在Windows上安裝驅(qū)動(dòng)程序需要管理員權(quán)限,并且需要來(lái)自Microsoft認(rèn)證的可信方�。該代碼也由有效的證書頒發(fā)機(jī)構(gòu)簽署����,以證明其真實(shí)性。在缺少簽名的情況下����,Windows會(huì)向用戶發(fā)出警告���。
然而���,Eclypsium的研究指的是具有Windows接受的有效簽名的合法驅(qū)動(dòng)程序���。這些驅(qū)動(dòng)程序并非惡意設(shè)計(jì)�,但包含可被惡意程序和參與者濫用的漏洞。
更糟糕的是�,這些驅(qū)動(dòng)程序會(huì)影響所有現(xiàn)代版本的Windows�����,包括Windows 10��。
“這些問題適用于所有現(xiàn)代版本的Microsoft Windows,目前還沒有通用的機(jī)制來(lái)阻止Windows機(jī)器加載其中一個(gè)已知的壞驅(qū)動(dòng)程序�。”
研究人員表示���,在易受攻擊的驅(qū)動(dòng)程序中,他們發(fā)現(xiàn)一些與顯卡��,網(wǎng)絡(luò)適配器,硬盤驅(qū)動(dòng)器和其他設(shè)備相互作用���。
風(fēng)險(xiǎn)不是假設(shè)的
在這些組件中植入的惡意軟件“可以讀取,寫入或重定向通過(guò)網(wǎng)絡(luò)存儲(chǔ)���,顯示或發(fā)送的數(shù)據(jù)�������! 此外,可以禁用組件����,從而觸發(fā)系統(tǒng)上的拒絕服務(wù)條件。
利用易受攻擊的驅(qū)動(dòng)程序的攻擊不是理論上的 他們已經(jīng)在由資金充足的黑客進(jìn)行的網(wǎng)絡(luò)間諜活動(dòng)中被識(shí)別出來(lái)���。
Slingshot APT小組使用較舊的易受攻擊的驅(qū)動(dòng)程序來(lái)提升受感染計(jì)算機(jī)的權(quán)限。來(lái)自APT28 的Lojaxrootkit(又名Sednit�����,F(xiàn)ancy Bear�,Strontium Sofacy)更加陰險(xiǎn),因?yàn)樗ㄟ^(guò)簽名驅(qū)動(dòng)程序存放在UEFI固件中����。
所有現(xiàn)代版本的Windows都受此問題的影響���,并且沒有更廣泛的機(jī)制存在以防止易受攻擊的驅(qū)動(dòng)程序加載�����。
攻擊場(chǎng)景不僅限于已安裝易受攻擊驅(qū)動(dòng)程序的系統(tǒng)�����。威脅參與者可以專門為特權(quán)升級(jí)和持久性目的添加它們�。
緩解此威脅的解決方案包括定期掃描過(guò)時(shí)的系統(tǒng)和組件固件,以及應(yīng)用設(shè)備制造商的最新驅(qū)動(dòng)程序修復(fù)程序以解決任何漏洞��。
以下是受影響供應(yīng)商的部分清單���,因?yàn)槠渌恍┕⿷?yīng)商仍處于禁運(yùn)狀態(tài)���。
American Megatrends International (AMI)ASRockASUSTeK ComputerATI Technologies (AMD)BiostarEVGAGetacGIGABYTEHuaweiInsydeIntelMicro-Star International (MSI)NVIDIAPhoenix TechnologiesRealtek SemiconductorSuperMicroToshiba
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載