Vulnerabilità di escalation dei privilegi rilevate in oltre 40 driver di Windows

I ricercatori della società di sicurezza informatica Eclypsium hanno rivelato che oltre 40 driver diversi di 20 fornitori di hardware certificati Microsoft contenevano codice scadente, che potrebbe essere sfruttato per organizzare un'escalation di attacchi ai privilegi.

Alla conferenza DEF CON di quest'anno a Las Vegas, Eclypsium ha pubblicato un elenco dei principali fornitori di BIOS e produttori di hardware interessati, tra cui ASUS, Huawei, Intel, NVIDIA e Toshiba.

I driver interessano tutte le versioni di Windows, il che significa che milioni di persone sono a rischio. I driver potrebbero potenzialmente consentire alle applicazioni dannose di ottenere i privilegi del kernel a livello di utente, ottenendo così l'accesso diretto al firmware e all'hardware.

Il malware può essere installato direttamente nel firmware, quindi reinstallare il sistema operativo non è nemmeno una soluzione.

Tutte queste vulnerabilità consentono al driver di agire come un proxy per eseguire l'accesso con privilegi elevati alle risorse hardware, come l'accesso in lettura e scrittura allo spazio I/O del processore e del chipset, i registri specifici del modello (MSR), i registri di controllo (CR), il debug Registri (DR), memoria fisica e memoria virtuale del kernel. Si tratta di un'escalation dei privilegi in quanto può spostare un utente malintenzionato dalla modalità utente (Ring 3) alla modalità kernel del sistema operativo (Ring 0). Il concetto di anelli di protezione è riassunto nell'immagine sottostante, dove ad ogni anello interno vengono concessi progressivamente più privilegi. È importante notare che anche gli amministratori operano su Ring 3 (e non più in profondità), insieme ad altri utenti. L'accesso al kernel non solo può fornire a un utente malintenzionato l'accesso più privilegiato disponibile al sistema operativo, ma può anche garantire l'accesso alle interfacce hardware e firmware con privilegi ancora più elevati come il firmware del BIOS di sistema.

Se un driver vulnerabile è già presente nel sistema, un'applicazione dannosa deve solo cercarlo per elevare i privilegi. Se il driver non è presente, un'applicazione dannosa potrebbe portare con sé il driver, ma per installarli è necessaria l'approvazione dell'amministratore.

Il driver fornisce non solo i privilegi necessari, ma anche il meccanismo per apportare modifiche.

In una dichiarazione a ZDNet, Mickey Shkatov, Principal Researcher di Eclypsium ha menzionato:

Microsoft utilizzerà la sua funzionalità HVCI (Hypervisor-enforced Code Integrity) per inserire nella blacklist i driver che vengono loro segnalati.

Questa funzione è disponibile solo sui processori Intel di 7a generazione e successivi; quindi le CPU meno recenti, o quelle più recenti in cui HCVI è disabilitato, richiedono la disinstallazione manuale dei driver.

Microsoft ha anche aggiunto:

Per sfruttare i driver vulnerabili, un utente malintenzionato dovrebbe aver già compromesso il computer.

Un utente malintenzionato che ha compromesso il sistema nel livello di privilegio Ring 3, potrebbe quindi ottenere l'accesso al kernel.

Microsoft ha emesso questo consiglio:

(Utilizzare) Windows Defender Application Control per bloccare software e driver vulnerabili sconosciuti.

I clienti possono proteggersi ulteriormente attivando l'integrità della memoria per i dispositivi compatibili in Sicurezza di Windows

Ecco l'elenco completo di tutti i fornitori che hanno già aggiornato i propri driver:

• ASRock
• ASUSTeK Computer
• Tecnologie ATI (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Inside
• Intel
• Micro-Star Internazionale (MSI)
• NVIDIA
• Tecnologie Phoenix
• Semiconduttori Realtek
• SuperMicro
• Toshiba

Fonte: Neowin via ZDNet