Vulnerabilidades de escalonamento de privilégios encontradas em mais de 40 drivers do Windows

Pesquisadores da empresa de segurança cibernética Eclypsium revelaram que mais de 40 drivers diferentes de 20 fornecedores de hardware certificados pela Microsoft continham código ruim, que poderia ser explorado para montar uma escalada de ataque de privilégio.

Na conferência DEF CON deste ano em Las Vegas, a Eclypsium divulgou uma lista dos principais fornecedores de BIOS e fabricantes de hardware afetados, incluindo ASUS, Huawei, Intel, NVIDIA e Toshiba.

Os drivers afetam todas as versões do Windows, o que significa que milhões estão em risco. Os drivers podem permitir que aplicativos mal-intencionados obtenham privilégios de kernel no nível do usuário, obtendo assim acesso direto ao firmware e hardware.

O malware pode ser instalado diretamente no firmware, portanto, reinstalar o sistema operacional nem é uma solução.

Todas essas vulnerabilidades permitem que o driver atue como um proxy para realizar acesso altamente privilegiado aos recursos de hardware, como acesso de leitura e gravação ao espaço de E/S do processador e chipset, Registros Específicos do Modelo (MSR), Registros de Controle (CR), Debug Registradores (DR), memória física e memória virtual do kernel. Esta é uma escalação de privilégios, pois pode mover um invasor do modo de usuário (Anel 3) para o modo kernel do sistema operacional (Anel 0). O conceito de anéis de proteção é resumido na imagem abaixo, onde cada anel interno recebe progressivamente mais privilégios. É importante notar que mesmo os Administradores operam no Anel 3 (e não mais profundo), ao lado de outros usuários. O acesso ao kernel pode não apenas dar a um invasor o acesso mais privilegiado disponível ao sistema operacional, mas também pode conceder acesso às interfaces de hardware e firmware com privilégios ainda maiores, como o firmware do BIOS do sistema.

Se um driver vulnerável já estiver presente no sistema, um aplicativo malicioso só precisa procurá-lo para elevar o privilégio. Se o driver não estiver presente, um aplicativo mal-intencionado pode trazer o driver com ele, mas requer a aprovação do administrador para instalá-lo.

O driver está fornecendo não apenas os privilégios necessários, mas também o mecanismo para fazer alterações.

Em uma declaração ao ZDNet, Mickey Shkatov, pesquisador principal do Eclypsium, mencionou:

A Microsoft usará seu recurso HVCI (Hypervisor-enforced Code Integrity) para colocar na lista negra os drivers que são relatados a eles.

Esse recurso está disponível apenas em processadores Intel de 7ª geração e posteriores; então CPUs mais antigas, ou mais novas onde o HCVI está desabilitado, requerem que os drivers sejam desinstalados manualmente.

A Microsoft também acrescentou:

Para explorar drivers vulneráveis, um invasor precisaria já ter comprometido o computador.

Um invasor que tenha comprometido o sistema no nível de privilégio do Ring 3 pode obter acesso ao kernel.

A Microsoft emitiu este conselho:

(Utilize) o Windows Defender Application Control para bloquear softwares e drivers vulneráveis ​​desconhecidos.

Os clientes podem se proteger ainda mais ativando a integridade da memória para dispositivos compatíveis na Segurança do Windows

Aqui está a lista completa de todos os fornecedores que já atualizaram seus drivers:

• ASRock
• Computador ASUSTeK
• Tecnologias ATI (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Interior
• Intel
• Micro Star Internacional (MSI)
• NVIDIA
• Phoenix Technologies
• Semicondutor Realtek
• SuperMicro
• Toshiba

Fonte: Neowin via ZDNet