Компания в области кибербезопасности Eclypsium выпустила отчёт Screwed Drivers, в котором рассказала, что драйверы всех крупных поставщиков имеют критические уязвимости безопасности. Они позволяют вредоносному ПО получать привилегии, обеспечивающие неограниченный доступ к устройствам, пишут Softpedia и TechPowerUp.
Все драйверы одобрены подписаны и одобрены Microsoft в рамках программы WHQL. В длинном списке из более 40 производителей значатся Intel, AMD, NVIDIA, AMI, Phoenix, ASUS, Toshiba, SuperMicro, GIGABYTE, MSI, EVGA и другие. Многие из них выпускают материнские платы и разрабатывают приложения для мониторинга и разгона оборудования, для которых устанавливаются драйверы режима ядра в Windows для аппаратного доступа для Ring-0, уровня с наиболее широкими привилегиями.
Специалисты Eclypsium сообщают о 3 способах повышения привилегий с использованием драйверов устройств: RWEverything, LoJax и SlingShot. Все атаки эксплуатируют то, как Windows продолжает работать с драйверами, имеющими повреждённые, устаревшие или истёкшие сертификаты. Компания не делилась подробностями о каждом из них, но сотрудничает с некоторыми из указанных производителей для выпуска патчей.
RWEverything — это утилита для программного доступа ко всем аппаратным интерфейсам. Она работает в пользовательском пространстве, но с одноразово установленным подписанным драйвером режима ядра RWDrv.sys выступает как проводник для вредоносов, открывающий доступ Ring-0 в системе. LoJax представляет собой инструмент, который через RWDrv.sys получает доступ к контроллеру флэш-памяти SPI в чипсете материнской платы и модифицирует флэш-память UEFI BIOS. Slingshot — это APT с собственным вредоносным драйвером, который эксплуатирует другие драйверы с MSR для чтения/записи, чтобы обойти принудительное применение подписи драйверов с целью установки руткита, позволяющего злоумышленнику или вредоносному коду скрыть следы взлома системы.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.