Kerentanan eskalasi hak istimewa ditemukan di lebih dari 40 Driver Windows

Beranda » Microsoft

Ikon waktu membaca 3 menit Baca

Ikon kalender Ditampilkan di

by Atiya Davids 

Diterbitkan di

Bagikan artikel ini

Pembaca membantu dukungan MSpoweruser. Kami mungkin mendapat komisi jika Anda membeli melalui tautan kami. Ikon Keterangan Alat

Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut

Peneliti dari perusahaan keamanan siber Eclypsium mengungkapkan bahwa 40+ driver berbeda dari 20 vendor perangkat keras bersertifikasi Microsoft mengandung kode yang buruk, yang dapat dieksploitasi untuk meningkatkan serangan hak istimewa.

Pada konferensi DEF CON tahun ini di Las Vegas, Eclypsium merilis daftar vendor BIOS besar dan produsen perangkat keras yang terpengaruh, termasuk ASUS, Huawei, Intel, NVIDIA, dan Toshiba.

Driver memengaruhi semua versi Windows, yang berarti jutaan orang berisiko. Driver berpotensi memungkinkan aplikasi jahat untuk mendapatkan hak kernel di tingkat pengguna, sehingga mendapatkan akses langsung ke firmware dan perangkat keras.

Malware dapat diinstal langsung ke firmware, jadi menginstal ulang sistem operasi bukanlah solusi.

Semua kerentanan ini memungkinkan driver untuk bertindak sebagai proxy untuk melakukan akses yang sangat istimewa ke sumber daya perangkat keras, seperti akses baca dan tulis ke ruang I/O prosesor dan chipset, Model Specific Registers (MSR), Control Registers (CR), Debug Register (DR), memori fisik dan memori virtual kernel. Ini adalah eskalasi hak istimewa karena dapat memindahkan penyerang dari mode pengguna (Ring 3) ke mode kernel OS (Ring 0). Konsep cincin perlindungan diringkas dalam gambar di bawah ini, di mana setiap cincin bagian dalam diberikan lebih banyak hak istimewa. Penting untuk dicatat bahwa bahkan Administrator beroperasi pada Ring 3 (dan tidak lebih dalam), bersama pengguna lain. Akses ke kernel tidak hanya dapat memberikan penyerang akses paling istimewa yang tersedia untuk sistem operasi, tetapi juga dapat memberikan akses ke antarmuka perangkat keras dan firmware dengan hak yang lebih tinggi seperti firmware BIOS sistem.

Jika driver yang rentan sudah ada di sistem, aplikasi jahat hanya perlu mencarinya untuk meningkatkan hak istimewa. Jika driver tidak ada, aplikasi jahat dapat membawa driver tersebut, tetapi memerlukan persetujuan administrator untuk menginstalnya.

Pengemudi tidak hanya menyediakan hak istimewa yang diperlukan, tetapi juga mekanisme untuk membuat perubahan.

Dalam sebuah pernyataan kepada ZDNet, Mickey Shkatov, Peneliti Utama di Eclypsium menyebutkan:

Microsoft akan menggunakan kemampuan HVCI (Hypervisor-enforced Code Integrity) untuk membuat daftar hitam driver yang dilaporkan kepada mereka.

Fitur ini hanya tersedia pada prosesor Intel generasi ke-7 dan yang lebih baru; jadi CPU yang lebih lama, atau yang lebih baru di mana HCVI dinonaktifkan, memerlukan driver untuk dihapus secara manual.

Microsoft juga menambahkan:

Untuk mengeksploitasi driver yang rentan, penyerang harus telah mengkompromikan komputer.

Penyerang yang telah mengkompromikan sistem di tingkat hak istimewa Ring 3, kemudian dapat memperoleh akses kernel.

Microsoft telah mengeluarkan saran ini:

(Gunakan) Kontrol Aplikasi Windows Defender untuk memblokir perangkat lunak dan driver rentan yang tidak dikenal.

Pelanggan dapat lebih melindungi diri mereka sendiri dengan mengaktifkan integritas memori untuk perangkat yang mampu di Keamanan Windows

Berikut daftar lengkap semua vendor yang telah memperbarui driver mereka:

  • ASRock
  • Komputer ASUSTeK
  • Teknologi ATI (AMD)
  • Biostar
  • EVGA
  • Dapatkan
  • GIGABYTE
  • Huawei
  • Di dalam
  • Intel
  • Bintang Mikro Internasional (MSI)
  • NVIDIA
  • Teknologi Phoenix
  • Semikonduktor Realtek
  • SuperMikro
  • Toshiba

Sumber: Neowin melalui ZDNet

Lebih lanjut tentang topik: hak istimewa eskalasi, Windows, jendela 10

Atiya Davids

Atiya Davids Melindungi

Reporter berita