Chyby zabezpečení eskalace oprávnění nalezené ve více než 40 ovladačích pro Windows

Domů » Microsoft

Ikona času čtení 3 min. číst

Ikona kalendáře Publikované dne

by Atiya Davids 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více

Výzkumníci z firmy Eclypsium zabývající se kybernetickou bezpečností odhalili, že více než 40 různých ovladačů od 20 certifikovaných výrobců hardwaru Microsoft obsahovalo špatný kód, který by mohl být zneužit k eskalaci útoku na privilegia.

Na letošní konferenci DEF CON v Las Vegas Eclypsium zveřejnilo seznam dotčených hlavních prodejců BIOSů a výrobců hardwaru, včetně ASUS, Huawei, Intel, NVIDIA a Toshiba.

Ovladače ovlivňují všechny verze Windows, což znamená, že jsou ohroženy miliony. Ovladače by mohly potenciálně umožnit škodlivým aplikacím získat oprávnění jádra na uživatelské úrovni, a tím získat přímý přístup k firmwaru a hardwaru.

Malware lze nainstalovat přímo do firmwaru, takže reinstalace operačního systému ani není řešením.

Všechny tyto chyby zabezpečení umožňují ovladači fungovat jako proxy a provádět vysoce privilegovaný přístup k hardwarovým prostředkům, jako je přístup pro čtení a zápis do I/O prostoru procesoru a čipové sady, registry specifické pro model (MSR), řídicí registry (CR), ladění Registry (DR), fyzická paměť a virtuální paměť jádra. Toto je eskalace oprávnění, protože může přesunout útočníka z uživatelského režimu (Ring 3) do režimu jádra OS (Ring 0). Koncept ochranných kroužků je shrnut na obrázku níže, kde je každému vnitřnímu kroužku udělováno postupně více privilegií. Je důležité poznamenat, že i správci působí na Ringu 3 (a ne hlouběji) spolu s ostatními uživateli. Přístup k jádru může útočníkovi nejen poskytnout nejprivilegovanější přístup k operačnímu systému, ale může také udělit přístup k rozhraní hardwaru a firmwaru s ještě vyššími oprávněními, jako je firmware systému BIOS.

Pokud je zranitelný ovladač již v systému přítomen, škodlivá aplikace jej pouze musí vyhledat, aby povýšila oprávnění. Pokud ovladač není přítomen, škodlivá aplikace by jej mohla přinést s sebou, ale k jeho instalaci bude vyžadovat souhlas správce.

Ovladač poskytuje nejen nezbytná oprávnění, ale také mechanismus pro provádění změn.

V prohlášení pro ZDNet Mickey Shkatov, hlavní výzkumník v Eclypsiu, zmínil:

Microsoft bude využívat svou schopnost HVCI (Hypervisor-enforced Code Integrity) k zablokování ovladačů, které jsou jim hlášeny.

Tato funkce je dostupná pouze u procesorů Intel 7. generace a novějších; takže starší CPU nebo novější, kde je HCVI zakázáno, vyžadují ruční odinstalaci ovladačů.

Microsoft také dodal:

Aby mohl útočník zneužít zranitelné ovladače, musel by již počítač kompromitovat.

Útočník, který narušil systém na úrovni oprávnění Ring 3, by pak mohl získat přístup k jádru.

Společnost Microsoft vydala tuto radu:

(Využijte) Windows Defender Application Control k blokování neznámého zranitelného softwaru a ovladačů.

Zákazníci se mohou dále chránit zapnutím integrity paměti pro schopná zařízení v Zabezpečení systému Windows

Zde je úplný seznam všech dodavatelů, kteří již aktualizovali své ovladače:

  • ASRock
  • ASUSTeK Computer
  • Technologie ATI (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

Zdroj: Neowin přes ZDNet

Více o tématech: privilegium eskalace, okna, Windows 10

Atiya Davids

Atiya Davids Štít

Reportér