Βρέθηκαν ευπάθειες κλιμάκωσης προνομίων σε περισσότερα από 40 προγράμματα οδήγησης των Windows

3 λεπτό. ανάγνωση

Δημοσιεύθηκε στις Αύγουστος 11, 2019

Οι αναγνώστες βοηθούν στην υποστήριξη του MSpoweruser. Ενδέχεται να λάβουμε προμήθεια εάν αγοράσετε μέσω των συνδέσμων μας.

Ερευνητές από την εταιρεία κυβερνοασφάλειας Eclypsium αποκάλυψαν ότι 40+ διαφορετικά προγράμματα οδήγησης από 20 προμηθευτές υλικού πιστοποιημένους από τη Microsoft περιείχαν κακό κώδικα, ο οποίος θα μπορούσε να χρησιμοποιηθεί για την κλιμάκωση της επίθεσης προνομίων.

Στο φετινό συνέδριο DEF CON στο Λας Βέγκας, το Eclypsium κυκλοφόρησε μια λίστα με μεγάλους προμηθευτές και κατασκευαστές υλικού BIOS που επηρεάστηκαν, συμπεριλαμβανομένων των ASUS, Huawei, Intel, NVIDIA και Toshiba.

Τα προγράμματα οδήγησης επηρεάζουν όλες τις εκδόσεις των Windows, πράγμα που σημαίνει ότι κινδυνεύουν εκατομμύρια. Τα προγράμματα οδήγησης θα μπορούσαν ενδεχομένως να επιτρέψουν σε κακόβουλες εφαρμογές να αποκτήσουν προνόμια πυρήνα σε επίπεδο χρήστη, αποκτώντας έτσι άμεση πρόσβαση στο υλικολογισμικό και το υλικό.

Το κακόβουλο λογισμικό μπορεί να εγκατασταθεί απευθείας στο υλικολογισμικό, επομένως η επανεγκατάσταση του λειτουργικού συστήματος δεν είναι καν λύση.

Όλα αυτά τα τρωτά σημεία επιτρέπουν στο πρόγραμμα οδήγησης να ενεργεί ως διακομιστής μεσολάβησης για να εκτελεί εξαιρετικά προνομιακή πρόσβαση στους πόρους υλικού, όπως πρόσβαση ανάγνωσης και εγγραφής στον χώρο εισόδου/εξόδου του επεξεργαστή και του σετ chip, τους καταχωρητές ειδικών μοντέλου (MSR), τους καταχωρητές ελέγχου (CR), τον εντοπισμό σφαλμάτων Καταχωρητές (DR), φυσική μνήμη και εικονική μνήμη πυρήνα. Αυτή είναι μια κλιμάκωση προνομίων, καθώς μπορεί να μετακινήσει έναν εισβολέα από τη λειτουργία χρήστη (Ring 3) στη λειτουργία πυρήνα του λειτουργικού συστήματος (Ring 0). Η έννοια των δακτυλίων προστασίας συνοψίζεται στην παρακάτω εικόνα, όπου σε κάθε δακτύλιο προς τα μέσα παρέχεται σταδιακά περισσότερα προνόμια. Είναι σημαντικό να σημειωθεί ότι ακόμη και οι Διαχειριστές λειτουργούν στο Ring 3 (και όχι πιο βαθιά), μαζί με άλλους χρήστες. Η πρόσβαση στον πυρήνα μπορεί όχι μόνο να δώσει σε έναν εισβολέα την πιο προνομιακή πρόσβαση που είναι διαθέσιμη στο λειτουργικό σύστημα, αλλά μπορεί επίσης να παραχωρήσει πρόσβαση στο υλικό και τις διεπαφές υλικολογισμικού με ακόμη υψηλότερα προνόμια όπως το υλικολογισμικό του BIOS του συστήματος.

Εάν υπάρχει ήδη ένα ευάλωτο πρόγραμμα οδήγησης στο σύστημα, μια κακόβουλη εφαρμογή πρέπει απλώς να το αναζητήσει για να αυξήσει το προνόμιο. Εάν το πρόγραμμα οδήγησης δεν υπάρχει, μια κακόβουλη εφαρμογή θα μπορούσε να φέρει μαζί του το πρόγραμμα οδήγησης, αλλά να απαιτήσει την έγκριση του διαχειριστή για την εγκατάσταση τους.

Ο οδηγός παρέχει όχι μόνο τα απαραίτητα προνόμια, αλλά και τον μηχανισμό για να κάνει αλλαγές.

Σε μια δήλωση στο ZDNet, ο Mickey Shkatov, κύριος ερευνητής στο Eclypsium ανέφερε:

Η Microsoft θα χρησιμοποιήσει τη δυνατότητά της HVCI (Hypervisor-enforced Code Integrity) για τη μαύρη λίστα προγραμμάτων οδήγησης που αναφέρονται σε αυτήν.

Αυτή η δυνατότητα είναι διαθέσιμη μόνο σε επεξεργαστές Intel 7ης γενιάς και μεταγενέστερες. Έτσι, οι παλαιότερες CPU ή οι νεότερες όπου το HCVI είναι απενεργοποιημένο, απαιτούν τη μη αυτόματη απεγκατάσταση των προγραμμάτων οδήγησης.

Η Microsoft πρόσθεσε επίσης:

Προκειμένου να εκμεταλλευτεί ευάλωτα προγράμματα οδήγησης, ένας εισβολέας θα πρέπει να έχει ήδη υπονομεύσει τον υπολογιστή.

Ένας εισβολέας που έχει παραβιάσει το σύστημα σε επίπεδο προνομίων Ring 3, θα μπορούσε στη συνέχεια να αποκτήσει πρόσβαση στον πυρήνα.

Η Microsoft έχει εκδώσει αυτήν τη συμβουλή:

(Χρησιμοποιήστε) το Windows Defender Application Control για να αποκλείσετε άγνωστο ευάλωτο λογισμικό και προγράμματα οδήγησης.

Οι πελάτες μπορούν να προστατευτούν περαιτέρω ενεργοποιώντας την ακεραιότητα μνήμης για ικανές συσκευές στην Ασφάλεια των Windows

Ακολουθεί η πλήρης λίστα όλων των προμηθευτών που έχουν ήδη ενημερώσει τα προγράμματα οδήγησης: