Ranljivosti zaradi stopnjevanja privilegijev, najdene v več kot 40 gonilnikih Windows

Domov » Microsoft

Ikona časa branja 3 min. prebrati

Ikona koledarja Objavljeno dne

by Atiya Davids 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Raziskovalci iz podjetja za kibernetsko varnost Eclypsium so razkrili, da je več kot 40 različnih gonilnikov 20 Microsoft certificiranih prodajalcev strojne opreme vsebovalo slabo kodo, ki bi jo lahko izkoristili za povečanje napada na privilegije.

Na letošnji konferenci DEF CON v Las Vegasu je Eclypsium objavil seznam prizadetih večjih prodajalcev BIOS-a in proizvajalcev strojne opreme, vključno z ASUS, Huawei, Intel, NVIDIA in Toshiba.

Gonilniki vplivajo na vse različice sistema Windows, kar pomeni, da so ogroženi milijoni. Gonilniki bi lahko zlonamernim aplikacijam omogočili pridobitev privilegijev jedra na ravni uporabnika, s čimer bi pridobili neposreden dostop do strojne in strojne opreme.

Zlonamerno programsko opremo je mogoče namestiti neposredno v vdelano programsko opremo, tako da ponovna namestitev operacijskega sistema niti ni rešitev.

Vse te ranljivosti omogočajo gonilniku, da deluje kot proxy za izvajanje visoko privilegiranih dostopov do virov strojne opreme, kot je dostop za branje in pisanje do V/I prostora procesorja in nabora čipov, registri, specifični za model (MSR), kontrolni registri (CR), odpravljanje napak. Registri (DR), fizični pomnilnik in virtualni pomnilnik jedra. To je stopnjevanje privilegijev, saj lahko napadalca premakne iz uporabniškega načina (Ring 3) v način jedra OS (Ring 0). Koncept zaščitnih obročev je povzet na spodnji sliki, kjer ima vsak notranji obroč postopoma več privilegijev. Pomembno je omeniti, da na Ringu 3 (in ne globlje) delujejo celo skrbniki poleg drugih uporabnikov. Dostop do jedra napadalcu ne omogoča le najbolj privilegiranega dostopa, ki je na voljo operacijskemu sistemu, lahko pa tudi dostop do vmesnikov strojne in strojne programske opreme s še višjimi privilegiji, kot je vdelana programska oprema sistemskega BIOS-a.

Če je v sistemu že prisoten ranljiv gonilnik, ga mora zlonamerna aplikacija samo poiskati, da poviša privilegije. Če gonilnik ni prisoten, lahko zlonamerna aplikacija prinese gonilnik s seboj, vendar zahteva odobritev skrbnika za njihovo namestitev.

Gonilnik zagotavlja ne le potrebne privilegije, ampak tudi mehanizem za spreminjanje.

Mickey Shkatov, glavni raziskovalec pri Eclypsiumu, je v izjavi za ZDNet omenil:

Microsoft bo uporabljal svojo zmožnost HVCI (Hypervisor-enforced Code Integrity) za črno uvrstitev gonilnikov, ki so mu prijavljeni.

Ta funkcija je na voljo samo pri procesorjih Intel 7. generacije in novejših; tako starejši procesorji ali novejši, kjer je HCVI onemogočen, zahtevajo ročno odstranitev gonilnikov.

Microsoft je dodal tudi:

Da bi lahko izkoristil ranljive gonilnike, bi moral napadalec že ogroziti računalnik.

Napadalec, ki je ogrozil sistem na ravni privilegij Ring 3, bi lahko nato pridobil dostop do jedra.

Microsoft je izdal ta nasvet:

(Uporabite) Windows Defender Application Control za blokiranje neznane ranljive programske opreme in gonilnikov.

Stranke se lahko dodatno zaščitijo z vklopom integritete pomnilnika za zmogljive naprave v programu Windows Security

Tukaj je celoten seznam vseh ponudnikov, ki so že posodobili svoje gonilnike:

  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Inside
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

vir: Neowin preko ZDNet

Več o temah: privilegij stopnjevanja, okna, Windows 10

Atiya Davids

Atiya Davids Shield

Novinar