Driver katasztrófa: Több mint 40 aláírt illesztőprogram nem tudja teljesíteni a biztonsági előírásokat

Több tucat bizonytalan illesztőprogram, 20 gyártótól származik, és a kernelvédelem széles körű gyengeségeit szemlélteti.

LAS VEGAS – A nem biztonságos illesztőprogram csak annyit jelent, amire a hackereknek szükségük van ahhoz, hogy lábukba kerüljenek a Windows környezetbe. A kompromittált járművezetők a hatalmas biztonsági fejfájások középpontjában állnak, a legutóbbi Slingshot APT kampányoktól és a LoJax malware-től kezdve. Ez az oka annak, hogy az Eclypsium kutatói figyelmeztetnek arra, amit komoly biztonsági problémának tekint az olyan megbízhatatlan járművezetők számára, akiket digitálisan aláírtak olyan megbízható cégek, mint a Microsoft.

A szombati DEF CON konferencián az Eclypsium fő kutatója, Mickey Shkatov csatlakozott Jesse Michael kutatóhoz, és mindkettő rávilágított a kutatásokra, amelyek azt mutatták, hogy a bizonytalan járművezetők problémája széles körben elterjedt, és legalább 20 különböző gyártótól több mint 40 járművezetőt érint. minden illesztőprogramot a Microsoft tanúsít.

“Ezek a sérülékenységek lehetővé teszik az illesztőprogramnak, hogy proxyként működjön a hardver erőforrásokhoz való kiváltságos hozzáféréssel, és a támadót a felhasználói módból az operációs rendszermag-módba helyezze” – jegyezte meg a kutatók. Hozzátették, hogy a sebezhetőség széles körben elterjedt, és kihatással van a fő BIOS-szállítókra, valamint az ASUS, a Toshiba, az NVIDIA és a Huawei által értékesített hardverekre.

A kutatók szerint elsőként áprilisban derítették fel a kérdést, amikor 40 bizonytalan járművezetőt tettek le, akik 20 gyártót képviseltek. Ezután 90 napos időszakot adtak a jogsértő társaságoknak a problémák enyhítésére. A kutatók szerint mind a 40 illesztőprogram egyedi és 64 bites, és két külön gyártó írta alá.

„A legveszélyesebb [bizonytalan illesztőprogram-támadás forgatókönyvek] a kernelmemória tetszőleges olvasása / írása, a modell-specifikus regiszterek (MSR) tetszőleges olvasása / írása, valamint a fizikai memória tetszőleges olvasása és írása, mivel ezek mindegyike felhasználható önkényes elérésére. kódfuttatás a Windows kernelén belül ”- mondta a kutatók a Threatpost-nak.

Cskatov hozzátette, hogy a nem biztonságos illesztőprogramon keresztüli önkényes hardverhozzáférés lehetővé teheti a firmware-összetevők rosszindulatú módosítását, ami a meglévő Windows AV-védelem folyamatos aláásását eredményezheti. Ez volt a helyzet márciusban, amikor a Huawei MateBook rendszerek egy gazember illesztőprogramot tartalmaztak, amely lehetővé tette a nem előnyös felhasználók számára a superuser privilégiumokkal történő folyamatok létrehozását.

A kutatók szerint ez a probléma különösen fenyegetővé teszi azt a feltételezést, hogy a Microsofthoz hasonló cégek hátráltatják a bizonytalan járművezetőket. „A gyártók szerint a Microsoft ezt keresi, és ők nem, és a Microsoft szerint a gyártók biztonságos kódot szállítanak. Senki sem vállalja a kérdést ebben a kérdésben – mondta Shkatov a Threatpostnak.

A beszélgetésben említett nem biztonságos illesztőprogramok nyilvános kizsákmányolása magában foglalja az ASUS illesztőprogramjának privilegizált sérülékenységének emelését, az MSI helyi privilégiumának eszkalációját és egy másik privilégium eszkalációs hibát, amelyet a Gigabyte hardverben találtak.

Miért van olyan sok bizonytalan járművezető? „Ez egy általános szoftver-tervezési anti-minta, amelyben ahelyett, hogy az illesztőprogramot csak meghatározott feladatok elvégzésére hajtanák végre, az rugalmasan meg van írva, hogy önkényes tevékenységeket végezzen a felhasználói tér nevében. Könnyebb a szoftverek fejlesztése az illesztőprogramok és alkalmazások ilyen módon történő strukturálásával, de megnyitja a rendszert a hasznosításra ”- mondta a kutató.

Hangsúlyozzák azt is, hogy csak azért, mert a járművezető aláírással és tanúsítvánnyal rendelkezik, nem azt jelenti, hogy biztonságos.

„Különös aggodalomra ad okot, hogy a kérdéses járművezetők nem voltak gazember vagy nem szánalmazottak – valójában éppen ellenkezőleg. Minden illesztőprogram megbízható, harmadik féltől származó gyártótól származik, érvényes tanúsító hatóságok által aláírt és a Microsoft által hitelesített ”- mondta.

Michael és Shkatov szerint az antidotum az, hogy a Microsoft fokozza és megteszi a Windows biztonságos illesztőprogramjainak feketelistára való felvételét az összes felhasználó vagy meghatározott CPU-generáció számára.

“Reméljük, hogy ugyanazok a cselekedetek, amelyeket a kiszolgáltatott Capcom driverrel szemben hoztak, megtehetők ezzel a járművezetői csoporttal, amelyet találtunk” – mondta Shkatov.

A Capcom játékkészítője 2016-ban kiadta a népszerű Street Fighter V PC-k számára egy titkos gyökérkészlettel, amely minden telepített alkalmazásmag-szintű privilégiumot adott. Azt is meg kell jegyezni, hogy a Huawei MateBook rendszerek esetében a Microsoft a rossz illesztőprogramot találta meg, amely megnyitotta a rendszereket a támadásokhoz.

Kutatásuk részeként Michael és Shkatov jelentést tett közzé az eredményekről, amely részben felsorolta a kutatásukban említett érintett gyártókat:

     American Megatrends International (AMI)
     ASRock
     ASUSTeK számítógép
     ATI Technologies (AMD)
     Biostar
     EVGA
     Getac
     GIGABYTE
     Huawei
     Insyde
     Intel
     Micro-Star International (MSI)
     NVIDIA
     Phoenix Technologies
     Realtek félvezető
     SuperMicro
     Toshiba

Közösségi megosztás:
%d blogger ezt szereti: