Vulnerabilități de escaladare a privilegiilor găsite în peste 40 de drivere Windows

Cercetătorii de la firma de securitate cibernetică Eclypsium au dezvăluit că peste 40 de drivere diferite de la 20 de furnizori de hardware certificați de Microsoft conțineau cod slab, care ar putea fi exploatat pentru a declanșa un atac de privilegii.

La conferința DEF CON de anul acesta din Las Vegas, Eclypsium a lansat o listă a vânzătorilor importanți de BIOS și producătorilor de hardware afectați, inclusiv ASUS, Huawei, Intel, NVIDIA și Toshiba.

Driverele afectează toate versiunile de Windows, ceea ce înseamnă că milioane de oameni sunt în pericol. Driverele ar putea permite aplicațiilor rău intenționate să obțină privilegii de kernel la nivel de utilizator, obținând astfel acces direct la firmware și hardware.

Malware-ul poate fi instalat direct în firmware, așa că reinstalarea sistemului de operare nici măcar nu este o soluție.

Toate aceste vulnerabilități permit șoferului să acționeze ca un proxy pentru a efectua acces privilegiat la resursele hardware, cum ar fi accesul de citire și scriere la spațiul I/O procesor și chipset, registre specifice modelului (MSR), registre de control (CR), depanare Registre (DR), memorie fizică și memorie virtuală a nucleului. Aceasta este o escaladare a privilegiilor, deoarece poate muta un atacator din modul utilizator (Ring 3) în modul OS kernel (Ring 0). Conceptul de inele de protecție este rezumat în imaginea de mai jos, unde fiecărui inel interior i se acordă treptat mai multe privilegii. Este important de reținut că până și Administratorii operează la Ring 3 (și nu mai adânc), alături de alți utilizatori. Accesul la nucleu poate oferi unui atacator cel mai privilegiat acces disponibil la sistemul de operare, ci poate acorda și acces la interfețele hardware și firmware cu privilegii și mai mari, cum ar fi firmware-ul BIOS al sistemului.

Dacă un driver vulnerabil este deja prezent pe sistem, o aplicație rău intenționată trebuie doar să-l caute pentru a crește privilegiul. Dacă driverul nu este prezent, o aplicație rău intenționată ar putea aduce driverul cu el, dar necesită aprobarea administratorului pentru a le instala.

Șoferul oferă nu numai privilegiile necesare, ci și mecanismul de a face modificări.

Într-o declarație pentru ZDNet, Mickey Shkatov, cercetător principal la Eclypsium a menționat:

Microsoft va folosi capacitatea sa HVCI (Hypervisor-enforced Code Integrity) pentru a pune pe lista neagră driverele care le sunt raportate.

Această caracteristică este disponibilă numai pe procesoarele Intel de a 7-a generație și ulterior; astfel încât procesoarele mai vechi sau cele mai noi în care HCVI este dezactivat necesită dezinstalarea manuală a driverelor.

Microsoft a mai adăugat:

Pentru a exploata driverele vulnerabile, un atacator ar trebui să fi compromis deja computerul.

Un atacator care a compromis sistemul la nivelul de privilegii Ring 3, ar putea obține apoi acces la kernel.

Microsoft a emis acest sfat:

(Utilizați) Windows Defender Application Control pentru a bloca software-ul și driverele vulnerabile necunoscute.

Clienții se pot proteja în continuare activând integritatea memoriei pentru dispozitivele capabile în Windows Security

Iată lista completă a tuturor furnizorilor care și-au actualizat deja driverele:

• ASRock
• Computer ASUSTeK
• Tehnologii ATI (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Tehnologii Phoenix
• Realtek Semiconductor
• SuperMicro
• Toshiba

Sursa: Neowin de ZDNet