研究人員發現20家供應商的40個內核驅動程序存在安全漏洞

在今天拉斯維加斯舉行的DEF CON 27安全會議上，來自Eclypsium的安全研究人員談到了他們在來自20個不同硬件供應商的40多個內核驅動程序中發現的常見設計缺陷。

常見的設計缺陷是，低權限應用程序可以使用合法的驅動程序功能在Windows操作系統的最敏感區域(如Windows內核)中執行惡意操作。

“有許多硬件資源通常只能由特權軟件(如Windows內核)訪問，并且需要保護其免受來自用戶空間應用程序的惡意讀/寫，”Eclypsium首席研究員Mickey Shkatov在早些時候的一封電子郵件中告訴。

“當簽名驅動程序提供的功能可被用戶空間應用程序濫用以執行這些敏感資源的任意讀/寫而沒有任何限制或來自Microsoft的檢查時，設計缺陷表面，”他補充道。

Shkatov指責他在不良編碼實踐中發現的問題，這些問題不考慮安全性。

“這是一種常見的軟件設計反模式，而不是讓驅動程序只執行特定任務，而是以靈活的方式編寫代表用戶空間執行任意操作，”他告訴ZDNet。

“通過這種方式構建驅動程序和應用程序來開發軟件更容易，但它會打開系統進行利用。”

受影響的供應商

Shkatov表示，他的公司已通知每個硬件供應商，這些供應商正在提供允許用戶空間應用程序運行內核代碼的驅動程序。發布更新的供應商列在下面。

●美國大趨勢國際(AMI)

●華擎

●ASUSTeK計算機

●ATI Technologies(AMD)

●映泰

●EVGA

●Getac

●技嘉

●華為

●Insyde

●英特爾

●微星國際(MSI)

●NVIDIA

●Phoenix Technologies

●Realtek Semiconductor

●SuperMicro

●東芝

“一些供應商，如英特爾和華為，已經發布了更新。一些像鳳凰城和Insyde這樣的IBV [獨立BIOS供應商]正在向他們的客戶OEM發布他們的更新，”Shkatov告訴ZDNet。

據報道，Eclypsium研究員表示，他沒有透露所有受影響的供應商的名稱，因為有些“由于特殊情況需要額外的時間”，未來將會發布未來的修復和建議。

Eclypsium研究員表示，他計劃在演講結束后在GitHub上發布受影響的驅動程序及其哈希列表，以便用戶和管理員可以阻止受影響的驅動程序。

此外，Shaktov表示，微軟將使用其HVCI(虛擬機管理程序強制執行的代碼完整性)功能，將向其報告的驅動程序列入黑名單。

但是，Shaktov表示HVCI功能僅支持第7代Intel CPU及以后版本。舊系統需要手動干預，甚至在無法啟用HVCI的較新Intel CPU上也需要。

“為了利用易受攻擊的驅動程序，攻擊者需要已經破壞了計算機，”微軟在一份聲明中說。“為了幫助緩解此類問題，Microsoft建議客戶使用Windows Defender Application Control來阻止已知的易受攻擊的軟件和驅動程序?？蛻艨梢酝ㄟ^為Windows Security中的功能強大的設備啟用內存完整性來進一步保護自己.Microsoft努力與行業合作伙伴合作致力于私下披露漏洞并共同協助保護客戶。“

版權聲明：轉載此文是出于傳遞更多信息之目的。若有來源標注錯誤或侵犯了您的合法權益，請作者持權屬證明與本網聯系，我們將及時更正、刪除，謝謝您的支持與理解。