Privilege-escalatie-kwetsbaarheden gevonden in meer dan 40 Windows-stuurprogramma's

Onderzoekers van cyberbeveiligingsbedrijf Eclypsium onthulden dat meer dan 40 verschillende stuurprogramma's van 20 door Microsoft gecertificeerde hardwareleveranciers slechte code bevatten, die misbruikt zou kunnen worden om een ​​escalatie van privilege-aanvallen te veroorzaken.

Op de DEF CON-conferentie van dit jaar in Las Vegas heeft Eclypsium een ​​lijst vrijgegeven van getroffen grote BIOS-leveranciers en hardwarefabrikanten, waaronder ASUS, Huawei, Intel, NVIDIA en Toshiba.

De stuurprogramma's zijn van invloed op alle versies van Windows, wat betekent dat er miljoenen gevaar lopen. Drivers kunnen mogelijk kwaadwillende toepassingen toestaan ​​om kernelprivileges op gebruikersniveau te verkrijgen, waardoor ze directe toegang krijgen tot firmware en hardware.

De malware kan direct in de firmware worden geïnstalleerd, dus het opnieuw installeren van het besturingssysteem is niet eens een oplossing.

Al deze kwetsbaarheden stellen de bestuurder in staat om als een proxy te fungeren om zeer bevoorrechte toegang tot de hardwarebronnen uit te voeren, zoals lees- en schrijftoegang tot processor- en chipset-I/O-ruimte, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), fysiek geheugen en virtueel kernelgeheugen. Dit is een escalatie van bevoegdheden omdat het een aanvaller kan verplaatsen van de gebruikersmodus (Ring 3) naar de OS-kernelmodus (Ring 0). Het concept van beschermingsringen wordt samengevat in de onderstaande afbeelding, waarbij elke binnenste ring geleidelijk meer privileges krijgt. Het is belangrijk op te merken dat zelfs beheerders op Ring 3 werken (en niet dieper), naast andere gebruikers. Toegang tot de kernel kan een aanvaller niet alleen de meest geprivilegieerde toegang geven tot het besturingssysteem, het kan ook toegang verlenen tot de hardware- en firmware-interfaces met nog hogere privileges, zoals de systeem-BIOS-firmware.

Als er al een kwetsbaar stuurprogramma op het systeem aanwezig is, hoeft een kwaadwillende toepassing er alleen maar naar te zoeken om de bevoegdheden te verhogen. Als het stuurprogramma niet aanwezig is, kan een kwaadwillende toepassing het stuurprogramma meebrengen, maar hiervoor is toestemming van de beheerder nodig om ze te installeren.

De bestuurder biedt niet alleen de nodige privileges, maar ook het mechanisme om wijzigingen aan te brengen.

In een verklaring aan ZDNet zei Mickey Shkatov, hoofdonderzoeker bij Eclypsium:

Microsoft zal zijn HVCI-mogelijkheid (Hypervisor-enforced Code Integrity) gebruiken om stuurprogramma's die aan hen worden gerapporteerd, op de zwarte lijst te zetten.

Deze functie is alleen beschikbaar op Intel-processors van de 7e generatie en later; dus oudere CPU's, of nieuwere waarbij HCVI is uitgeschakeld, vereisen dat de stuurprogramma's handmatig worden verwijderd.

Microsoft heeft ook toegevoegd:

Om kwetsbare stuurprogramma's te kunnen misbruiken, moet een aanvaller de computer al hebben aangetast.

Een aanvaller die het systeem heeft gecompromitteerd op het privilegeniveau van Ring 3, kan dan toegang krijgen tot de kernel.

Microsoft heeft dit advies uitgebracht:

(Gebruik) Windows Defender Application Control om onbekende kwetsbare software en stuurprogramma's te blokkeren.

Klanten kunnen zichzelf verder beschermen door geheugenintegriteit in te schakelen voor geschikte apparaten in Windows Security

Hier is de volledige lijst van alle leveranciers die hun stuurprogramma's al hebben bijgewerkt:

• ASRock
• ASUSTeK-computer
• ATI-technologieën (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• binnen
• Intel
• MicroStar International (MSI)
• NVIDIA
• Phoenix technologieën
• Realtek halfgeleider
• supermicro
• Toshiba

Bron: Neowin via ZDNet