Windows 10 sebezhetőségeké volt a főszerep a Black Hat biztonsági konferencián

Mivel a Black Hat biztonsági konferencia Las Vegasban véget ér, így kezdődik a DEF CON hacker-egyezmény. Nem tartott sokáig, amíg az első kritikus figyelmeztetések megjelentek a Windows felhasználók számára. Ez különösen aggasztó, mivel a bemutatót tartó Eclypsium kutatók szerint a kérdés „a Microsoft Windows összes modern verziójára” vonatkozik, amely a Windows 10 felhasználóinak millióit veszélyezteti a rendszer kompromisszumában.

Mit tártak fel a kutatók?

Dióhéjban a kutató közös tervezési hibát talált a gyártók hardveres eszköz-illesztőprogramjain belül, beleértve a Huawei, az Intel, az NVIDIA, a Realtek Semiconductor, a SuperMicro és a Toshiba gyártóit. Összességében az érintett hardvergyártók száma 20-ra emelkedik, és magában foglalja az összes főbb BIOS-szállítót. A biztonsági rés természete veszélyezteti a Windows 10 gépek széles körű veszélyeztetését.

Az Eclypsium kutatócsoportja azt vizsgálta, hogyan lehet visszaélni a nem biztonságos járművezetőkkel, hogy megtámadjanak egy eszközt, és megszerezzék a lábát a rendszerben, amelyhez tartozik. „Az illesztőprogramok, amelyek hozzáférést biztosítanak a rendszer BIOS-hoz vagy a rendszer összetevőihez a firmware frissítése, a diagnosztika futtatása vagy az alkotóelem opcióinak testreszabása céljából” – állították a kutatók bemutatójuk során – lehetővé tehetik a támadók számára, hogy a rendszer kezeléséhez használt eszközöket megfordítsák. olyan erőteljes fenyegetésekké, amelyek kiterjeszthetik a privilégiumokat és észrevehetetlenül fennmaradhatnak a házigazdán.

Megállapítást nyert, hogy az illesztőprogramok olyan tervezési hibákat tartalmaznak, amelyek lehetővé teszik, hogy az „alacsony privilégiumú” alkalmazásokat a fenyegetés szereplői használhassák oly módon, hogy veszélyeztethessék a Windows operációs rendszer azon részeit, amelyekhez csak a „privilegizált” felhasználók férhetnek hozzá. ”Alkalmazások. Ez magában foglalja a Windows kernelt is az operációs rendszer szívében.

Hitelesített bizalom

A privilégiumok veszélyes eszkalációja, amikor a támadónak a kerneltel megegyező szintű olvasási és írási hozzáférést biztosít, problematikusabbá válik, amikor felismeri az itt kihasználható bizalom szintjét.

Ezek nem „szélhámos” driverek, hanem hivatalosan szankcionáltak. Mindegyik megbízható gyártótól származik, mindegyiket megbízható tanúsító hatóságok írták alá, és mindegyikét a Microsoft hitelesítette.

Mivel az illesztőprogramokat kifejezetten a firmware frissítésére fejlesztették ki, a probléma súlyossága nagyon gyorsan nyilvánvalóvá válik. A hibás illesztőprogramok nemcsak biztosítják a változtatások végrehajtásának mechanizmusát, hanem a kiváltságokat is. Ha egy fenyegető szereplő manipulálhatja a rossz kódolás és az aláírt tanúsítás ezen kombinációját, akkor az eredmény nem fog kinézni.

A kutatók kijelentették, hogy „több olyan támadás létezik vadonban, amelyek kihasználják a veszélyeztetett illesztőprogramok ezen osztályát.” A bemutatott példák között szerepelt a Slingshot APT kampány, amely telepíti a kernel rootkit-et, és a „LoJax malware”, amely rosszindulatú programokat telepít az eszköz firmware-ébe, amely még a teljes Windows újratelepítését is képes túlélni

Már megoldódott a probléma?


Mickey Shkatov, az Eclypsium fő kutatója azt mondta a ZDNet-nek, hogy „Egyes gyártók, mint például az Intel és a Huawei, már kiadtak frissítéseket.” Mások, amelyek független BIOS-szállítók, például a Phoenix és az Insyde, „frissítést adnak az ügyfelek eredeti OEM-einek, – mondta Shkatov.

Az Eclypsium kutatás kimutatja, hogy a biztonsági kérdés a „Microsoft Windows összes modern verziójára” és „jelenleg nincs olyan univerzális mechanizmus, amely megakadályozná a Windows gépeket, hogy betöltsék az egyik ismert rossz illesztőprogramot.” Tehát a Windows Enterprise csoportszabályai , A Pro és a Sever bizonyos fokú enyhítést tudnának biztosítani „egy felhasználói csoport számára” – állítják a kutatók.

A frissítéseket kiadó szállítók teljes listája, amelyet Önnek a lehető leghamarabb telepítenie kell, itt található.

Mit mondott a Microsoft?


A Microsoft nyilatkozata szerint: „A kiszolgáltatott illesztőprogramok kihasználása érdekében a támadónak már veszélyeztetnie kellett volna a számítógépet. A kérdés ezen osztályának enyhítése érdekében a Microsoft azt ajánlja, hogy az ügyfelek a Windows Defender Application Control segítségével blokkolják az ismert sérülékeny programokat és illesztőprogramokat. ”A Windows biztonsági funkcióinak megfelelő memória integritásának bekapcsolása mellett a Microsoft a Windows 10 és az Edge böngésző használatát is javasolta. „A legjobb védelem érdekében.”

Közösségi megosztás:
%d blogger ezt szereti: