Driver dari lebih dari 40 produsen perangkat keras (Intel, AMD, Nvidia, Asus, MSI) rentan
Perusahaan riset keamanan siber Eclypsium, menerbitkan laporan berjudul Driver yang Kacau "Driver / Driver Kacau", yang memberitahu cacat kritis dalam desain perangkat lunak driver perangkat modern dari lebih dari 40 produsen perangkat keras. Bug ini memungkinkan malware untuk memperoleh hak istimewa dari Dering 3 hingga Dering 0 (akses tidak terbatas ke perangkat keras).
Daftar panjang produsen driver yang terpengaruh, yang sepenuhnya ditandatangani dan Microsoft menyetujui (Windows) di bawah program WHQL Anda, itu termasuk nama-nama besar seperti Intel, AMD, Nvidia, AMI, Phoenix, Asus, Toshiba, SuperMicro, Gigabyte, MSI atau EVGA. Banyak nama terbaru adalah produsen motherboard, yang merancang pemantauan perangkat keras dan aplikasi overclocking yang memasang pengontrol mode kernel Windows untuk mengakses perangkat keras dari Ring 0, yaitu, tingkat dengan hak istimewa terbanyak.
Sebagai bagian dari studinya, Eclypsium menceritakan tiga jenis serangan eskalasi hak istimewa aktif dengan driver perangkat: Semuanya, LoJax (malware UEFI pertama), dan SlingShot. Eksploitasi setiap kerentanan ini dieksploitasi dengan cara dalam apa Windows terus bekerja dengan pengemudi dengan sertifikat yang ditandatangani, rusak, usang atau kedaluwarsa.
Eclypsium tidak merinci secara rinci setiap kerentanan, tetapi secara singkat mendefinisikan tiga kerentanan dalam presentasi selama DEF CON. Di sisi lain, perusahaan tersebut bekerja sama dengan beberapa produsen yang disebutkan untuk pelepasan mitigasi dan tambalan, dan untuk saat ini semua informasi ini dalam embargo.
- Semuanya disajikan oleh Eclypsium sebagai utilitas untuk mengakses ke semua antarmuka perangkat keras melalui perangkat lunak. Ini bekerja di ruang pengguna, tetapi dengan driver RWDrv.sys yang ditandatangani dalam mode kernel hanya diinstal sekali. Karena berfungsi sebagai saluran untuk malware untuk mendapatkan akses ke System Ring 0.
- LoJax Ini adalah alat yang menggunakan perpustakaan RWDrv.sys untuk mengakses pengontrol flash SPI pada chipset motherboard untuk memodifikasi UEFI BIOS Anda.
- Katapel Ini adalah APT dengan driver jahatnya sendiri yang mengeksploitasi driver lain dengan baca / tulis MSR untuk melewatkan aplikasi tanda tangan pada pengontrol Untuk menginstal rootkit.
Untuk saat ini tidak ada solusi untuk masalah tersebut, tetapi logis untuk mengharapkannya dalam beberapa hari berikutnya sentuh pembaruan sistem dan aplikasi yang baik.
melalui: TechPowerUp
