40を超えるWindowsドライバーで見つかった特権昇格の脆弱性

サイバーセキュリティ会社Eclypsiumの研究者は、マイクロソフト認定のハードウェアベンダー40社の20以上の異なるドライバーに、特権攻撃の昇格を悪用される可能性のある貧弱なコードが含まれていることを明らかにしました。

ラスベガスで開催された今年のDEFCON会議で、Eclypsiumは、ASUS、Huawei、Intel、NVIDIA、Toshibaなどの影響を受ける主要なBIOSベンダーとハードウェアメーカーのリストを発表しました。

ドライバーはWindowsのすべてのバージョンに影響します。つまり、何百万もの人々が危険にさらされています。 ドライバーは、悪意のあるアプリケーションがユーザーレベルでカーネル特権を取得できるようにする可能性があり、それによってファームウェアとハ​​ードウェアに直接アクセスできるようになります。

マルウェアはファームウェアに直接インストールできるため、オペレーティングシステムを再インストールすることも解決策ではありません。

これらすべての脆弱性により、ドライバーはプロキシとして機能し、プロセッサおよびチップセットI / Oスペース、モデル固有レジスタ（MSR）、制御レジスタ（CR）、デバッグへの読み取りおよび書き込みアクセスなどのハードウェアリソースへの高度な特権アクセスを実行できます。レジスタ（DR）、物理メモリ、およびカーネル仮想メモリ。 これは、攻撃者をユーザーモード（リング3）からOSカーネルモード（リング0）に移動させる可能性があるため、特権の昇格です。 保護リングの概念は下の画像に要約されており、各内側のリングには徐々に多くの特権が付与されています。 管理者でさえ、他のユーザーと一緒にリング3で（そしてそれ以上ではなく）操作することに注意することが重要です。 カーネルへのアクセスは、攻撃者にオペレーティングシステムで利用可能な最も特権的なアクセスを与えるだけでなく、システムBIOSファームウェアなどのさらに高い特権を持つハードウェアおよびファームウェアインターフェイスへのアクセスを許可することもできます。

脆弱なドライバがシステムにすでに存在する場合、悪意のあるアプリケーションは、特権を上げるためにそれを検索する必要があります。 ドライバーが存在しない場合、悪意のあるアプリケーションがドライバーを持ってくる可能性がありますが、それらをインストールするには管理者の承認が必要です。

ドライバーは、必要な特権だけでなく、変更を加えるためのメカニズムも提供しています。

ZDNetに対する声明の中で、Eclypsiumの主任研究員であるMickeyShkatovは次のように述べています。

Microsoftは、HVCI（Hypervisor-enforced Code Integrity）機能を使用して、報告されたドライバーをブラックリストに登録します。

この機能は、第7世代以降のIntelプロセッサでのみ使用できます。 そのため、古いCPU、またはHCVIが無効になっている新しいCPUでは、ドライバーを手動でアンインストールする必要があります。

Microsoftも追加しました：

脆弱なドライバーを悪用するには、攻撃者はすでにコンピューターを侵害している必要があります。

リング3の特権レベルでシステムを侵害した攻撃者は、カーネルアクセスを取得する可能性があります。

マイクロソフトはこのアドバイスを発行しました：

（使用）Windows Defender Application Controlを使用して、未知の脆弱なソフトウェアとドライバーをブロックします。

お客様は、Windowsセキュリティで対応デバイスのメモリ整合性をオンにすることで、さらに身を守ることができます

ドライバーを既に更新しているすべてのベンダーの完全なリストは次のとおりです。

• アスロック
• ASUSTek社のコンピュータ
• ATI Technologies（AMD）
• BIOSTAR
• EVGA
• ゲタック
• GIGABYTE
• Huawei社
• インサイド
• インテル
• Micro-Star International（MSI）
• NVIDIA
• Phoenix Technologies
• Realtek Semiconductor
• スーパーマイクロ
• 東芝

情報源： Neowin 、 ZDNetの