在 40 多个 Windows 驱动程序中发现权限提升漏洞

网络安全公司 Eclypsium 的研究人员透露，来自 40 家微软认证硬件供应商的 20 多种不同的驱动程序包含不良代码，可被利用来发动权限升级攻击。

在今年拉斯维加斯举行的 DEF CON 大会上，Eclypsium 公布了受影响的主要 BIOS 供应商和硬件制造商名单，包括华硕、华为、英特尔、英伟达和东芝。

这些驱动程序会影响所有版本的 Windows，这意味着数百万人处于危险之中。 驱动程序可能允许恶意应用程序在用户级别获得内核权限，从而直接访问固件和硬件。

恶意软件可以直接安装到固件中，因此重新安装操作系统甚至不是解决方案。

所有这些漏洞都允许驱动程序充当代理来执行对硬件资源的高特权访问，例如对处理器和芯片组 I/O 空间、模型特定寄存器 (MSR)、控制寄存器 (CR)、调试的读写访问寄存器 (DR)、物理内存和内核虚拟内存。 这是一种权限提升，因为它可以将攻击者从用户模式（环 3）移动到操作系统内核模式（环 0）。 下图总结了保护环的概念，其中每个向内环都被授予逐渐更多的特权。 重要的是要注意，即使是管理员也可以与其他用户一起在第 3 环（并且没有更深）上运行。 访问内核不仅可以为攻击者提供对操作系统可用的最高特权访问权限，还可以授予对硬件和固件接口的访问权限，甚至具有更高的权限，例如系统 BIOS 固件。

如果系统上已经存在易受攻击的驱动程序，恶意应用程序只需搜索它即可提升权限。 如果驱动程序不存在，恶意应用程序可能会携带驱动程序，但需要管理员批准才能安装它们。

驱动程序不仅提供必要的权限，还提供进行更改的机制。

Eclypsium 首席研究员 Mickey Shkatov 在给 ZDNet 的一份声明中提到：

Microsoft 将使用其 HVCI（Hypervisor-enforced Code Integrity）功能将报告给他们的驱动程序列入黑名单。

此功能仅适用于第 7 代及更高版本的 Intel 处理器； 因此较旧的 CPU 或禁用 HCVI 的较新 CPU 需要手动卸载驱动程序。

微软还补充说：

为了利用易受攻击的驱动程序，攻击者需要已经破坏了计算机。

以 Ring 3 特权级别破坏系统的攻击者随后可以获得内核访问权限。

Microsoft 已发布此建议：

（利用）Windows Defender 应用程序控制来阻止未知的易受攻击的软件和驱动程序。

客户可以通过在 Windows 安全中心中为支持设备打开内存完整性来进一步保护自己

以下是已更新驱动程序的所有供应商的完整列表：

• 华擎
• 华硕电脑
• ATI 技术 (AMD)
• 映泰
• EVGA
• 格塔克
• 技嘉
• 华为
• 英赛德
• 英特尔
• 微星国际 (MSI)
• NVIDIA公司
• 凤凰科技
• 瑞昱半导体
• 超微
• Toshiba

Sumber: Neowin网站 通过 网易科技