Sårbarheter för eskalering av rättigheter som finns i över 40 Windows-drivrutiner

Hem » Microsoft

Lästid ikon 3 min. läsa

Kalenderikonen Publicerad den

by Atiya Davids 

publicerad den

Dela den här artikeln

Läsare hjälper till att stödja MSpoweruser. Vi kan få en provision om du köper via våra länkar. Verktygstipsikon

Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer

Forskare från cybersäkerhetsföretaget Eclypsium avslöjade att 40+ olika drivrutiner från 20 Microsoft-certifierade hårdvaruleverantörer innehöll dålig kod, som kunde utnyttjas för att åstadkomma en eskalering av privilegieattacken.

På årets DEF CON-konferens i Las Vegas släppte Eclypsium en lista över berörda stora BIOS-leverantörer och hårdvarutillverkare, inklusive ASUS, Huawei, Intel, NVIDIA och Toshiba.

Drivrutinerna påverkar alla versioner av Windows, vilket innebär att miljoner är i riskzonen. Drivrutiner kan potentiellt tillåta skadliga applikationer att få kärnprivilegier på användarnivå och därigenom få direkt åtkomst till firmware och hårdvara.

Skadlig programvara kan installeras direkt i firmware, så att installera om operativsystemet är inte ens en lösning.

Alla dessa sårbarheter tillåter föraren att agera som en proxy för att utföra högt privilegierad åtkomst till hårdvaruresurserna, såsom läs- och skrivåtkomst till processor och chipset I/O-utrymme, Model Specific Register (MSR), Control Register (CR), Debug Register (DR), fysiskt minne och virtuellt kärnminne. Detta är en privilegieskalering eftersom den kan flytta en angripare från användarläge (Ring 3) till OS-kärnläge (Ring 0). Konceptet med skyddsringar sammanfattas i bilden nedan, där varje inåtgående ring tilldelas successivt mer privilegier. Det är viktigt att notera att även administratörer arbetar på Ring 3 (och inte djupare), tillsammans med andra användare. Åtkomst till kärnan kan inte bara ge en angripare den mest privilegierade åtkomsten som finns tillgänglig för operativsystemet, den kan också ge åtkomst till hårdvaru- och firmware-gränssnitten med ännu högre behörigheter, såsom system-BIOS-firmware.

Om en sårbar drivrutin redan finns på systemet behöver en skadlig applikation bara söka efter den för att höja behörigheten. Om drivrutinen inte finns kan ett skadligt program ta med sig drivrutinen, men kräver administratörsgodkännande för att installera dem.

Föraren tillhandahåller inte bara de nödvändiga privilegierna, utan också mekanismen för att göra ändringar.

I ett uttalande till ZDNet nämnde Mickey Shkatov, huvudforskare vid Eclypsium:

Microsoft kommer att använda sin HVCI-funktion (Hypervisor-enforced Code Integrity) för att svartlista drivrutiner som rapporteras till dem.

Den här funktionen är endast tillgänglig på 7:e generationens och senare Intel-processorer; så äldre processorer, eller nyare där HCVI är inaktiverat, kräver att drivrutinerna avinstalleras manuellt.

Microsoft lade också till:

För att kunna utnyttja sårbara drivrutiner måste en angripare redan ha äventyrat datorn.

En angripare som har äventyrat systemet i Ring 3-behörighetsnivå kan då få kärnåtkomst.

Microsoft har utfärdat detta råd:

(Använd) Windows Defender Application Control för att blockera okänd sårbar programvara och drivrutiner.

Kunder kan skydda sig själva ytterligare genom att aktivera minnesintegritet för kapabla enheter i Windows Security

Här är den fullständiga listan över alla leverantörer som redan har uppdaterat sina drivrutiner:

  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • huawei
  • Inside
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • Super
  • Toshiba

Källa: Neowin via ZDNet

Mer om ämnena: privilegiet att eskalera, fönster, Windows 10

Atiya Davids

Atiya Davids Sköld

Nyhetsreporter