Vulnérabilités d'escalade de privilèges trouvées dans plus de 40 pilotes Windows

3 minute. lis

Publié le 11 août 2019

publié sur 11 août 2019

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens.

Des chercheurs de la société de cybersécurité Eclypsium ont révélé que plus de 40 pilotes différents de 20 fournisseurs de matériel certifiés Microsoft contenaient un code médiocre, qui pourrait être exploité pour monter une escalade d'attaque de privilèges.

Lors de la conférence DEF CON de cette année à Las Vegas, Eclypsium a publié une liste des principaux fournisseurs de BIOS et fabricants de matériel concernés, notamment ASUS, Huawei, Intel, NVIDIA et Toshiba.

Les pilotes affectent toutes les versions de Windows, ce qui signifie que des millions de personnes sont à risque. Les pilotes pourraient potentiellement permettre à des applications malveillantes d'obtenir des privilèges de noyau au niveau de l'utilisateur, obtenant ainsi un accès direct au micrologiciel et au matériel.

Le logiciel malveillant peut être installé directement dans le micrologiciel, donc la réinstallation du système d'exploitation n'est même pas une solution.

Toutes ces vulnérabilités permettent au pilote d'agir en tant que proxy pour effectuer un accès hautement privilégié aux ressources matérielles, telles que l'accès en lecture et en écriture à l'espace d'E/S du processeur et du chipset, les registres spécifiques au modèle (MSR), les registres de contrôle (CR), le débogage Registres (DR), mémoire physique et mémoire virtuelle du noyau. Il s'agit d'une élévation de privilèges car elle peut faire passer un attaquant du mode utilisateur (Ring 3) au mode noyau du système d'exploitation (Ring 0). Le concept des anneaux de protection est résumé dans l'image ci-dessous, où chaque anneau intérieur se voit accorder progressivement plus de privilèges. Il est important de noter que même les administrateurs opèrent à Ring 3 (et pas plus loin), aux côtés d'autres utilisateurs. L'accès au noyau peut non seulement donner à un attaquant l'accès le plus privilégié disponible au système d'exploitation, il peut également accorder l'accès aux interfaces matérielles et micrologicielles avec des privilèges encore plus élevés tels que le micrologiciel BIOS du système.

Si un pilote vulnérable est déjà présent sur le système, une application malveillante n'a qu'à le rechercher pour élever les privilèges. Si le pilote n'est pas présent, une application malveillante peut apporter le pilote avec elle, mais nécessite l'approbation de l'administrateur pour les installer.

Le pilote fournit non seulement les privilèges nécessaires, mais également le mécanisme permettant d'apporter des modifications.

Dans une déclaration à ZDNet, Mickey Shkatov, chercheur principal à Eclypsium a mentionné :

Microsoft utilisera sa capacité HVCI (Hypervisor-enforced Code Integrity) pour mettre sur liste noire les pilotes qui leur sont signalés.

Cette fonctionnalité n'est disponible que sur les processeurs Intel de 7e génération et ultérieurs ; Ainsi, les processeurs plus anciens, ou les plus récents où HCVI est désactivé, nécessitent que les pilotes soient désinstallés manuellement.

Microsoft a également ajouté :

Afin d'exploiter les pilotes vulnérables, un attaquant devrait déjà avoir compromis l'ordinateur.

Un attaquant qui a compromis le système au niveau de privilège Ring 3 pourrait alors obtenir l'accès au noyau.

Microsoft a publié cet avis :

(Utilisez) Windows Defender Application Control pour bloquer les logiciels et pilotes vulnérables inconnus.

Les clients peuvent se protéger davantage en activant l'intégrité de la mémoire pour les appareils compatibles dans la sécurité Windows

Voici la liste complète de tous les fournisseurs qui ont déjà mis à jour leurs pilotes :