Zajmująca się badaniem cyberbezpieczeństwa firma Eclypsium opublikowała nowy raport, w którym ujawnia krytyczną lukę w nowoczesnych sterownikach od ponad 40 producentów sprzętu, pozwalającą złośliwemu oprogramowaniu na zwiększenie swoich uprawnień z Ring 3 do Ring 0, czyli nieograniczonego dostępu do hardware’u. Luka zyskała bardzo chwytliwą i wszystko mówiącą nazwę „Screwed Drivers” (w odróżnieniu od typowego abstrakcyjnego nazewnictwa tego typu zagrożeń). Eclypsium znalazło bardzo poważne podatności w sterownikach od praktycznie „każdego dużego producenta BIOS”, a na liście znaleźć można takich gigantów jak of Asus, Toshiba, Nvidia, Intel, AMD czy Huawei. Co gorsze, firma mocno zdziwiła się faktem, że wszystkie te podatne na zagrożenie sterowniki zostały zatwierdzone i certyfikowane przez Microsoft w ramach jego programu WHQL.
Eclypsium opublikowało nowy raport, w którym ujawnia krytyczną lukę w nowoczesnych sterownikach od ponad 40 producentów sprzętu.
Wiele z podmiotów wymienionych przez Eclypsium to producenci płyt głównych tworzący software do monitorowania i podkręcania sprzętu, który instaluje sterowniki z trybem kernel w systemie Windows, pozwalając na wspominany dostęp do hardware’u z uprawnieniami Ring 0. Poza tym naukowcy zapewniają, że niebezpieczne sterowniki zainstalować można na wszystkich nowoczesnych wersjach Windowsa, pomimo ich certyfikacji WHQL. W ramach swojego raportu Eclypsium wyodrębniło trzy klasy ataków wykorzystujących exploity w sterownikach urządzeń: RWEverything, LoJax i SlingShot. Firma jak na razie nie ujawnia jednak szczegółów tych zagrożeń, ale zainteresowani mogą zapoznać się z ich krótkimi opisami na TEJ stronie z prezentacją DEF CON. Naukowcy wraz z kilkoma producentami pracują już nad łatkami, które wyeliminują ten problem, ale jak na razie obowiązuje ich embargo na tzw. białą księgę, więc szczegóły zapewne poznamy z późniejszym terminie.
RWEverything opisywane jest przez Eclypsium jako narzędzie pozwalające na dostęp do wszystkich interfejsów sprzętu za pomocą oprogramowania. LoJax to z kolei narzędzie, które wykorzystuje RWDrv.sys, by otrzymać dostęp do kontrolera SPI flash w chipsecie na płycie głównej i modyfikuje nasz UEFI BIOS flash. Slingshot to zaś APT z własnym złośliwym sterownikiem, który penetruje inne sterowniki z zapisu/odczytu MSR do obejścia ich zabezpieczeń i zainstalowania rootkita. Miejmy nadzieję, że luka zostanie szybko załatana, tym bardziej, że jak podkreśla Eclypsium „nie ma obecnie żadnego uniwersalnego mechanizmu, by zabezpieczyć system Windows” przed tymi podatnymi sterownikami.
Pokaż / Dodaj komentarze do: Screwed Drivers - groźna luka w sterownikach Intela, NVIDII, AMD i innych