Ranjivosti eskalacije privilegija pronađene u više od 40 Windows upravljačkih programa

Istraživači iz tvrtke za kibernetičku sigurnost Eclypsium otkrili su da više od 40 različitih upravljačkih programa od 20 dobavljača hardvera s Microsoftovim certifikatom sadrži loš kod, koji bi se mogao iskoristiti za eskalaciju napada na privilegije.

Na ovogodišnjoj DEF CON konferenciji u Las Vegasu, Eclypsium je objavio popis pogođenih glavnih dobavljača BIOS-a i proizvođača hardvera, uključujući ASUS, Huawei, Intel, NVIDIA i Toshiba.

Upravljački programi utječu na sve verzije sustava Windows, što znači da su milijuni ugroženi. Upravljački programi potencijalno mogu dopustiti zlonamjernim aplikacijama da steknu privilegije kernela na razini korisnika, čime bi dobili izravan pristup firmveru i hardveru.

Zlonamjerni softver može se instalirati izravno u firmware, tako da ponovna instalacija operativnog sustava nije niti rješenje.

Sve ove ranjivosti omogućuju upravljačkom programu da djeluje kao proxy za obavljanje visoko privilegiranih pristupa hardverskim resursima, kao što je pristup za čitanje i pisanje U/I prostoru procesora i čipseta, registri specifični za model (MSR), kontrolni registri (CR), debug Registri (DR), fizička memorija i virtualna memorija kernela. Ovo je eskalacija privilegija jer napadača može premjestiti iz korisničkog načina rada (Ring 3) u način rada jezgre OS (Ring 0). Koncept zaštitnih prstenova sažet je na donjoj slici, gdje se svakom unutarnjem prstenu progresivno dodjeljuje više privilegija. Važno je napomenuti da čak i Administratori rade na Ringu 3 (i ne dublje), uz ostale korisnike. Pristup kernelu ne samo da može dati napadaču najprivilegiraniji pristup dostupan operativnom sustavu, već također može odobriti pristup sučeljima hardvera i firmvera s još većim privilegijama kao što je firmware BIOS-a sustava.

Ako je ranjivi upravljački program već prisutan na sustavu, zlonamjerna ga aplikacija samo treba potražiti kako bi podigla privilegiju. Ako upravljački program nije prisutan, zlonamjerna aplikacija mogla bi dovesti upravljački program sa sobom, ali zahtijeva odobrenje administratora da ih instalira.

Vozač pruža ne samo potrebne privilegije, već i mehanizam za uvođenje promjena.

U izjavi za ZDNet, Mickey Shkatov, glavni istraživač u Eclypsiumu spomenuo je:

Microsoft će koristiti svoju HVCI (Hypervisor-enforced Code Integrity) sposobnost da stavi na crnu listu upravljačkih programa koji su im prijavljeni.

Ova je značajka dostupna samo na Intelovim procesorima 7. generacije i novijim; tako da stariji procesori ili noviji gdje je HCVI onemogućen, zahtijevaju da se upravljački programi ručno deinstaliraju.

Microsoft je također dodao:

Kako bi iskoristio ranjive upravljačke programe, napadač bi trebao već kompromitirati računalo.

Napadač koji je kompromitirao sustav na razini privilegija Ring 3, tada bi mogao dobiti pristup kernelu.

Microsoft je izdao ovaj savjet:

(Koristite) Windows Defender Application Control za blokiranje nepoznatog ranjivog softvera i upravljačkih programa.

Korisnici se mogu dodatno zaštititi uključivanjem integriteta memorije za sposobne uređaje u Windows Security

Ovdje je potpuni popis svih dobavljača koji su već ažurirali svoje upravljačke programe:

• ASRock
• ASUSTeK računalo
• ATI Technologies (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Inside
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Phoenix Technologies
• Realtek poluvodič
• SuperMicro
• Toshiba

Izvor: Neowin preko ZDNet