逾40款硬件驱动程序有漏洞,可让黑客在Windows核心执行恶意程序

发表于:2019-8-13 09:25

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:佚名    来源:数码小强

#
漏洞
分享:
  安全厂商Eclypsium上周在黑客技术年会Black Hat USA上公布研究,20多家硬件厂商的40多款驱动程序有权限升级漏洞,可能导致攻击者在Windows核心执行恶意程序。英特尔、英伟达等硬件厂商上榜,不过他们也都完成并推出修补程序。
  作业系统核心为和硬件通讯,需要以核心模式的驱动程序作为中介,在Windows环境下,是使用核心模式驱动程序框架(Kernel Mode Driver Framework,KMDF)。这些驱动程序可以控制Windows电脑大大小小的动作,小至CPU风扇转速、主板LED灯的颜色、大至BIOS更新、刷机等。驱动程序也拥有较一般使用者更高权限,也能在更底层作业而不受作业系统管辖。
  
  为了防止攻击者滥用此类权限,微软也设计了多种机制,像是WHQL(Windows Hardware Quality Lab)认证、程序签章、延伸验证(extended validation,EV)代码签章等,来防止非法、恶意驱动程序载入Windows核心。
  但研究人员发现,多款经签章的驱动程序存在安全漏洞,可被当作代理服务器以便读写重要的硬件资源,像是核心內存、内部CPU组态暂存器(registers)、PCI界面装置等等,使这些合法驱动程序反而被攻击者用来绕过什至关闭Windows安全机制,进而执行任意代码。
  Eclypsium首席研究分析师Mickey Shkatov指出,这些漏洞其实是出在驱动程序编写实务上未考察安全性所致。程序人员并未限制驱动程序可执行的任务类别,而是为了应用开发的方便而设计得很弹性,让使用者空间(userspace)中的低权限app,得以在Windows核心执行代码。所有近代的Windows作业系统都受到此漏洞影响。
  研究人员发现,有20多家硬件厂商、超过40款驱动程序存在上述漏洞,经过安全厂商通报已完成修补者包括,华硕(ASUSTEK)、ATI、技嘉(Gigabyte)、华为、英特尔、微星(MSI)、英伟达(Nvidia)、Phoenix、瑞昱(Realtek)、超威(SuperMicro)、东芝、AMI、华擎(ASRock)、映泰(Biostar)、艾微克(EVGA)、神基(Getac)、系微(Insyde)等,他们有的是直接发布给终端用户,有的则是发布给OEM客户。但仍然有部份厂商需要更多时间才能完成修补。
  研究人员计划之后要把受影响的驱动程序完整名单,公布在GitHub上。

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
  
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号