分析合法设备驱动程序安全性的研究人员发现,来自至少20家硬件供应商的40多名驱动程序包含可能被滥用以实现权限提升的漏洞。
硬件代表软件所在的计算机的构建块。驱动程序允许操作系统识别硬件组件并与之交互。
驱动程序代码支持OS内核与硬件之间的通信,享有比普通用户和系统管理员更高的权限级别。
因此,驱动程序中的漏洞是一个严重的问题,因为它们可被恶意行为者利用来获取对内核的访问权并获得操作系统(OS)的最高权限。
由于驱动程序也用于更新硬件固件,因此它们可以访问在操作系统禁止的更深层次上运行的组件,并改变它们的运行方式或阻止它们。
例如,BIOS和UEFI固件是在操作系统打开计算机之前启动的低级软件。此组件中植入的恶意软件对于大多数安全解决方案是不可见的,并且无法通过重新安装操作系统来删除。
固件和硬件安全公司Eclypsium的研究人员发现了40多个可能被滥用的驱动程序,用于将特权从用户空间提升到内核权限。
受影响的供应商(列表在这里)包括所有主要的BIOS供应商和计算机硬件业务中的大牌,如华硕,东芝,英特尔,技嘉,Nvidia或华为。
“所有这些漏洞都允许驱动程序充当代理,以执行对硬件资源的高权限访问,例如对处理器和芯片组I / O空间的读写访问,模型特定寄存器(MSR),控制寄存器(CR),调试寄存器(DR),物理内存和内核虚拟内存。“ - Eclypsium
从内核中,攻击者可以转移到固件和硬件接口,从而使目标主机能够超越正常威胁防护产品(在操作系统级别运行)的检测能力。
在Windows上安装驱动程序需要管理员权限,并且需要来自Microsoft认证的可信方。该代码也由有效的证书颁发机构签署,以证明其真实性。在缺少签名的情况下,Windows会向用户发出警告。
然而,Eclypsium的研究指的是具有Windows接受的有效签名的合法驱动程序。这些驱动程序并非恶意设计,但包含可被恶意程序和参与者滥用的漏洞。
更糟糕的是,这些驱动程序会影响所有现代版本的Windows,包括Windows 10。
“这些问题适用于所有现代版本的Microsoft Windows,目前还没有通用的机制来阻止Windows机器加载其中一个已知的坏驱动程序。”
研究人员表示,在易受攻击的驱动程序中,他们发现一些与显卡,网络适配器,硬盘驱动器和其他设备相互作用。
在这些组件中植入的恶意软件“可以读取,写入或重定向通过网络存储,显示或发送的数据。” 此外,可以禁用组件,从而触发系统上的拒绝服务条件。
利用易受攻击的驱动程序的攻击不是理论上的 他们已经在由资金充足的黑客进行的网络间谍活动中被识别出来。
Slingshot APT小组使用较旧的易受攻击的驱动程序来提升受感染计算机的权限。来自APT28 的Lojaxrootkit(又名Sednit,Fancy Bear,Strontium Sofacy)更加阴险,因为它通过签名驱动程序存放在UEFI固件中。
所有现代版本的Windows都受此问题的影响,并且没有更广泛的机制存在以防止易受攻击的驱动程序加载。
攻击场景不仅限于已安装易受攻击驱动程序的系统。威胁参与者可以专门为特权升级和持久性目的添加它们。
缓解此威胁的解决方案包括定期扫描过时的系统和组件固件,以及应用设备制造商的最新驱动程序修复程序以解决任何漏洞。
以下是受影响供应商的部分清单,因为其他一些供应商仍处于禁运状态。
American Megatrends International (AMI)ASRockASUSTeK ComputerATI Technologies (AMD)BiostarEVGAGetacGIGABYTEHuaweiInsydeIntelMicro-Star International (MSI)NVIDIAPhoenix TechnologiesRealtek SemiconductorSuperMicroToshiba