พบช่องโหว่ในการยกระดับสิทธิ์ในไดรเวอร์ Windows กว่า 40 รายการ
3 นาที. อ่าน
เผยแพร่เมื่อ
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Eclypsium เปิดเผยว่าไดรเวอร์มากกว่า 40 ตัวจากผู้จำหน่ายฮาร์ดแวร์ที่ได้รับการรับรองจาก Microsoft 20 รายมีรหัสที่ไม่ดี ซึ่งสามารถนำไปใช้เพื่อเพิ่มการโจมตีที่มีสิทธิพิเศษได้
ในการประชุม DEF CON ประจำปีนี้ที่ลาสเวกัส Eclypsium ได้เปิดเผยรายชื่อผู้จำหน่าย BIOS และผู้ผลิตฮาร์ดแวร์รายใหญ่ที่ได้รับผลกระทบ ซึ่งรวมถึง ASUS, Huawei, Intel, NVIDIA และ Toshiba
ไดรเวอร์ส่งผลกระทบต่อ Windows ทุกรุ่น ซึ่งหมายความว่าหลายล้านคนมีความเสี่ยง ไดรเวอร์อาจอนุญาตให้แอปพลิเคชันที่เป็นอันตรายได้รับสิทธิ์เคอร์เนลในระดับผู้ใช้ ดังนั้นจึงเข้าถึงเฟิร์มแวร์และฮาร์ดแวร์ได้โดยตรง
มัลแวร์สามารถติดตั้งลงในเฟิร์มแวร์ได้โดยตรง ดังนั้นการติดตั้งระบบปฏิบัติการใหม่จึงไม่ใช่วิธีแก้ปัญหา
ช่องโหว่ทั้งหมดเหล่านี้ทำให้ไดรเวอร์ทำหน้าที่เป็นพร็อกซีเพื่อดำเนินการเข้าถึงทรัพยากรฮาร์ดแวร์ที่มีสิทธิพิเศษสูง เช่น การอ่านและเขียนการเข้าถึงโปรเซสเซอร์และพื้นที่ I/O ของชิปเซ็ต, Model Specific Registers (MSR), Control Registers (CR), Debug รีจิสเตอร์ (DR) หน่วยความจำกายภาพ และหน่วยความจำเสมือนเคอร์เนล นี่เป็นการเพิ่มสิทธิพิเศษเนื่องจากสามารถย้ายผู้โจมตีจากโหมดผู้ใช้ (Ring 3) ไปยังโหมดเคอร์เนลของ OS (Ring 0) แนวคิดของวงแหวนป้องกันถูกสรุปไว้ในภาพด้านล่าง โดยที่วงแหวนด้านในแต่ละอันจะได้รับสิทธิพิเศษมากขึ้นเรื่อยๆ เป็นสิ่งสำคัญที่จะต้องทราบว่าแม้แต่ผู้ดูแลระบบก็ยังทำงานที่ Ring 3 (และไม่ลึกกว่านั้น) ควบคู่ไปกับผู้ใช้รายอื่น การเข้าถึงเคอร์เนลไม่เพียงแต่ให้ผู้โจมตีเข้าถึงระบบปฏิบัติการที่มีสิทธิพิเศษมากที่สุดเท่านั้น แต่ยังให้สิทธิ์เข้าถึงฮาร์ดแวร์และอินเทอร์เฟซเฟิร์มแวร์ด้วยสิทธิพิเศษที่สูงกว่า เช่น เฟิร์มแวร์ BIOS ของระบบ
หากมีไดรเวอร์ที่มีช่องโหว่อยู่ในระบบแล้ว แอปพลิเคชันที่เป็นอันตรายจะต้องค้นหาเพื่อยกระดับสิทธิ์ หากไม่มีไดรเวอร์ แอปพลิเคชันที่เป็นอันตรายอาจนำไดรเวอร์มาด้วย แต่ต้องได้รับอนุมัติจากผู้ดูแลระบบจึงจะติดตั้งได้
ไดรเวอร์ไม่เพียงให้สิทธิ์ที่จำเป็นเท่านั้น แต่ยังให้กลไกในการเปลี่ยนแปลงอีกด้วย
ในแถลงการณ์ถึง ZDNet มิกกี้ ชคาตอฟ หัวหน้านักวิจัยของ Eclypsium กล่าวว่า:
Microsoft จะใช้ความสามารถ HVCI (Hypervisor-enforced Code Integrity) เพื่อขึ้นบัญชีดำไดรเวอร์ที่รายงานถึงพวกเขา
คุณลักษณะนี้มีเฉพาะในโปรเซสเซอร์ Intel เจนเนอเรชั่น 7 และใหม่กว่าเท่านั้น ดังนั้น CPU รุ่นเก่าหรือรุ่นใหม่กว่าที่ปิดใช้งาน HCVI จึงต้องถอนการติดตั้งไดรเวอร์ด้วยตนเอง
Microsoft ยังเพิ่ม:
เพื่อใช้ประโยชน์จากไดรเวอร์ที่มีช่องโหว่ ผู้โจมตีจะต้องโจมตีคอมพิวเตอร์แล้ว
ผู้โจมตีที่บุกรุกระบบในระดับสิทธิ์ Ring 3 สามารถเข้าถึงเคอร์เนลได้
Microsoft ได้ออกคำแนะนำนี้:
(ใช้) Windows Defender Application Control เพื่อบล็อกซอฟต์แวร์และไดรเวอร์ที่มีช่องโหว่ที่ไม่รู้จัก
ลูกค้าสามารถป้องกันตนเองเพิ่มเติมได้ด้วยการเปิดความสมบูรณ์ของหน่วยความจำสำหรับอุปกรณ์ที่มีความสามารถในความปลอดภัยของ Windows
นี่คือรายชื่อผู้จำหน่ายทั้งหมดที่ได้อัปเดตไดรเวอร์แล้ว:
- ASRock
- ASUSTeK คอมพิวเตอร์
- เอทีไอ เทคโนโลยี (AMD)
- Biostar
- EVGA
- เกแทค
- GIGABYTE
- หัวเว่ย
- อินไซเด
- อินเทล
- ไมโครสตาร์ อินเตอร์เนชั่นแนล (MSI)
- NVIDIA
- เทคโนโลยีฟีนิกซ์
- Realtek เซมิคอนดักเตอร์
- ซูเปอร์ไมโคร
- โตชิบา