34 sterowniki urządzeń systemu Windows podatne na exploity zapewniające pełną kontrolę nad systemem

49

Problem dotyczy między innymi firm Intel, AMD i Nvidia.

Takahiro Hauryama, starszy badacz zagrożeń w VMware Carbon Black, zidentyfikował i udokumentował trzydzieści cztery luki w sterownikach dla starszych urządzeń w Windows Driver Model (WDM) i Windows Driver Framework (WDF). Niektóre z tych luk należą między innymi do firm AMD, Intel, Nvidia, Dell i Phoenix Technologies.

Luki te znajdują się w oprogramowaniu, systemie BIOS lub sterownikach systemu operacyjnego starszych urządzeń, pozostawiając system podatny na różne wektory ataków, które umożliwiają niegodziwym podmiotom pełną kontrolę nad systemem, dzięki czemu mogą przeprowadzać dowolną liczbę ataków, takich jak dodawanie złośliwego kodu, zmiana uprawnień systemowych, i między innymi usuwanie niektórych instrukcji we/wy.

Dowód koncepcji

Jak zawsze, potrzebny jest dowód słuszności koncepcji, który dostarczyli badacze, aby zidentyfikować i ocenić powagę tych luk. Podobnie jak w przypadku wielu odpowiedzialnych ekspertów ds. bezpieczeństwa, Takahiro Hauryama i inni, którzy z nim współpracowali, skontaktowali się z odpowiedzialnymi dostawcami.

Badacz przedstawił dowód słuszności koncepcji pliku sterownika AMD o nazwie PDFKRNL.sys. Pokazuje, że nieuprzywilejowany użytkownik może uruchomić cmd.exe z poziomem integralności systemu, wykorzystując system Windows 11 z integralnością kodu chronioną przez funkcję Hypervisor (HVCI).

Więcej od autora
1 z 169

Jeden z PoC pokazuje exploity polegające na usuwaniu oprogramowania sprzętowego specyficzne dla platform opartych na Intel Apollo SoC. Jego celem są urządzenia, usuwające pierwsze 4 KB oprogramowania sprzętowego z pamięci flash SPI. Ta metoda jest podobna do polecenia spi erasing, ale wykorzystuje również wejścia/wyjścia mapowane na porty i pamięć. Kolejnym kluczowym exploitem wspomnianym na blogu jest możliwość wyłączenia blokady BIOS-u i funkcji Intel Boot Guard.

Należy podkreślić, że niektórym z tych sterowników certyfikaty wygasły, a niektórym wręcz unieważniono. Lista zawiera jednak sterowniki z aktywnymi certyfikatami.

Inne dowody koncepcji można znaleźć w poście na blogu i Githubie, który zawiera również skrypty IDAPython.

Odpowiedź sprzedawcy

Takahiro wspomniał również, że JPCERT/CC koordynuje poprawki z odpowiednimi dostawcami, a w chwili pisania tego tekstu zgłoszono, że twórca BIOS-u komputerów PC, firmy Phoenix Technologies i AMD, naprawiły luki w zabezpieczeniach dwóch sterowników, których podpisy były nadal ważne. Później dodano, że firma Intel naprawiła exploit znaleziony w pliku stdcdrv64.sys.

Michael Haag, starszy badacz wątków w Splunk, również dodał te ustalenia na swojej stronie internetowej. Ta witryna zawiera listę sterowników systemu Windows, w przypadku których stwierdzono obejście kontroli bezpieczeństwa umożliwiające wykonanie złośliwego kodu. Brian Baskin jest również uznawany za wsparcie tych kluczowych badań.

Źródło: tomshardware
Komentarz