在今天拉斯維加斯舉行的DEF CON 27安全會議上，來自Eclypsium的安全研究人員談到了他們在來自20個(gè)不同硬件供應(yīng)商的40多個(gè)內(nèi)核驅(qū)動(dòng)程序中發(fā)現(xiàn)的常見設(shè)計(jì)缺陷。常見的設(shè)計(jì)缺陷是，低權(quán)限應(yīng)用程序可以使用合法的驅(qū)動(dòng)程序功能在Windows操作系統(tǒng)的最敏感區(qū)域(如Windows內(nèi)核)中執(zhí)行惡意操作。“有許多硬件資源通常只能由特權(quán)軟件(如Windows內(nèi)核)訪問，并且需要保護(hù)其免受來自用戶空間應(yīng)用程序的惡意讀/寫，”Eclypsium首席研究員Mickey Shkatov在早些時(shí)候的一封電子郵件中告訴ZDNet周。“當(dāng)簽名驅(qū)動(dòng)程序提供的功能可被用戶空間應(yīng)用程序?yàn)E用以執(zhí)行這些敏感資源的任意讀/寫而沒有任何限制或來自Microsoft的檢查時(shí)，設(shè)計(jì)缺陷表面，”他補(bǔ)充道。

Shkatov指責(zé)他在不良編碼實(shí)踐中發(fā)現(xiàn)的問題，這些問題不考慮安全性。

“這是一種常見的軟件設(shè)計(jì)反模式，而不是讓驅(qū)動(dòng)程序只執(zhí)行特定任務(wù)，而是以靈活的方式編寫代表用戶空間執(zhí)行任意操作，”他告訴ZDNet。

“通過這種方式構(gòu)建驅(qū)動(dòng)程序和應(yīng)用程序來開發(fā)軟件更容易，但它會打開系統(tǒng)進(jìn)行利用。”

受影響的供應(yīng)商

Shkatov表示，他的公司已通知每個(gè)硬件供應(yīng)商，這些供應(yīng)商正在提供允許用戶空間應(yīng)用程序運(yùn)行內(nèi)核代碼的驅(qū)動(dòng)程序。發(fā)布更新的供應(yīng)商列在下面。

●美國大趨勢國際(AMI)

●華擎

●ASUSTeK計(jì)算機(jī)

●ATI Technologies(AMD)

●映泰

●EVGA

●Getac

●技嘉

●華為

●Insyde

●英特爾

●微星國際(MSI)

●NVIDIA

●Phoenix Technologies

●Realtek Semiconductor

●SuperMicro

●東芝

“一些供應(yīng)商，如英特爾和華為，已經(jīng)發(fā)布了更新。一些像鳳凰城和Insyde這樣的IBV [獨(dú)立BIOS供應(yīng)商]正在向他們的客戶OEM發(fā)布他們的更新，”Shkatov告訴ZDNet。

據(jù)報(bào)道，Eclypsium研究員表示，他沒有透露所有受影響的供應(yīng)商的名稱，因?yàn)橛行?ldquo;由于特殊情況需要額外的時(shí)間”，未來將會發(fā)布未來的修復(fù)和建議。

Eclypsium研究員表示，他計(jì)劃在演講結(jié)束后在GitHub上發(fā)布受影響的驅(qū)動(dòng)程序及其哈希列表，以便用戶和管理員可以阻止受影響的驅(qū)動(dòng)程序。

[該文章將在可用時(shí)通過鏈接進(jìn)行更新。]

此外，Shaktov表示，微軟將使用其HVCI(虛擬機(jī)管理程序強(qiáng)制執(zhí)行的代碼完整性)功能，將向其報(bào)告的驅(qū)動(dòng)程序列入黑名單。

但是，Shaktov表示HVCI功能僅支持第7代Intel CPU及以后版本。舊系統(tǒng)需要手動(dòng)干預(yù)，甚至在無法啟用HVCI的較新Intel CPU上也需要。

“為了利用易受攻擊的驅(qū)動(dòng)程序，攻擊者需要已經(jīng)破壞了計(jì)算機(jī)，”微軟在一份聲明中說。“為了幫助緩解此類問題，Microsoft建議客戶使用Windows Defender Application Control來阻止已知的易受攻擊的軟件和驅(qū)動(dòng)程序?？蛻艨梢酝ㄟ^為Windows Security中的功能強(qiáng)大的設(shè)備啟用內(nèi)存完整性來進(jìn)一步保護(hù)自己.Microsoft努力與行業(yè)合作伙伴合作致力于私下披露漏洞并共同協(xié)助保護(hù)客戶。“