Yli 40 Windows-ohjaimesta löydetty käyttöoikeuksien eskalaatiohaavoittuvuuksia

Kyberturvallisuusyrityksen Eclypsiumin tutkijat paljastivat, että yli 40 eri ohjainta 20 Microsoftin sertifioidulta laitetoimittajalta sisälsivät huonoa koodia, jota voitaisiin hyödyntää etuoikeushyökkäyksen eskaloitumiseen.

Tämän vuoden DEF CON -konferenssissa Las Vegasissa Eclypsium julkaisi luettelon tärkeimmistä BIOS-toimittajista ja laitevalmistajista, mukaan lukien ASUS, Huawei, Intel, NVIDIA ja Toshiba.

Ajurit vaikuttavat kaikkiin Windows-versioihin, mikä tarkoittaa, että miljoonat ovat vaarassa. Ohjaimet voivat mahdollisesti antaa haitallisten sovellusten saada ytimen käyttöoikeudet käyttäjätasolla, jolloin he voivat saada suoran pääsyn laiteohjelmistoon ja laitteistoon.

Haittaohjelma voidaan asentaa suoraan laiteohjelmistoon, joten käyttöjärjestelmän uudelleenasentaminen ei ole edes ratkaisu.

Kaikki nämä haavoittuvuudet antavat ohjaimelle mahdollisuuden toimia välityspalvelimena ja suorittaa erittäin etuoikeutetun pääsyn laitteistoresursseihin, kuten luku- ja kirjoitusoikeudet prosessorin ja piirisarjan I/O-tilaan, mallikohtaisiin rekistereihin (MSR), ohjausrekistereihin (CR), virheenkorjaukseen. Rekisterit (DR), fyysinen muisti ja ytimen virtuaalimuisti. Tämä on oikeuksien eskalaatio, koska se voi siirtää hyökkääjän käyttäjätilasta (Ring 3) käyttöjärjestelmän ydintilaan (Ring 0). Suojarenkaiden käsite on tiivistetty alla olevassa kuvassa, jossa jokaiselle sisärenkaalle myönnetään asteittain enemmän etuoikeuksia. On tärkeää huomata, että jopa järjestelmänvalvojat toimivat renkaalla 3 (eikä syvemmällä) muiden käyttäjien rinnalla. Ytimen käyttö ei voi antaa hyökkääjälle vain etuoikeutetuimpia käyttöoikeuksia, vaan se voi myös antaa pääsyn laitteisto- ja laiteohjelmistoliitäntöihin vieläkin korkeammilla oikeuksilla, kuten järjestelmän BIOS-laiteohjelmistolla.

Jos järjestelmässä on jo haavoittuva ohjain, haitallisen sovelluksen on vain etsittävä se oikeuksien korottamiseksi. Jos ohjainta ei ole, haitallinen sovellus voi tuoda ohjaimen mukanaan, mutta vaatii järjestelmänvalvojan hyväksynnän niiden asentamiseen.

Kuljettaja ei tarjoa vain tarvittavia oikeuksia, vaan myös mekanismin muutosten tekemiseen.

Eclypsiumin päätutkija Mickey Shkatov mainitsi lausunnossaan ZDNetille:

Microsoft käyttää HVCI-ominaisuutta (Hypervisor-enforced Code Integrity) lisätäkseen heille ilmoitetut ohjaimet mustalle listalle.

Tämä ominaisuus on saatavilla vain 7. sukupolven ja myöhemmissä Intel-suorittimissa; joten vanhemmat tai uudemmat prosessorit, joissa HCVI on poistettu käytöstä, vaativat ajurien asennuksen manuaalisen poistamisen.

Microsoft lisäsi myös:

Hyökkääkseen haavoittuvia ohjaimia hyökkääjän on täytynyt jo murtautua tietokoneeseen.

Hyökkääjä, joka on murtautunut järjestelmän Ring 3 -oikeustasolla, voi sitten saada ytimen käyttöoikeuden.

Microsoft on antanut seuraavan neuvon:

(Käytä) Windows Defender -sovellusten hallintaa tuntemattomien haavoittuvien ohjelmistojen ja ohjaimien estämiseksi.

Asiakkaat voivat suojautua entisestään ottamalla muistin eheyden käyttöön Windows Securityn toimivissa laitteissa

Tässä on täydellinen luettelo kaikista toimittajista, jotka ovat jo päivittäneet ohjaimensa:

• ASRock
• ASUSTeK Computer
• ATI Technologies (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Phoenix Technologies
• Realtek Semiconductor
• SuperMicro
• Toshiba

Lähde: neowin kautta ZDNet