在今天拉斯維加斯舉行的DEF CON 27安全會議上,來自Eclypsium的安全研究人員談到了他們在來自20個(gè)不同硬件供應(yīng)商的40多個(gè)內(nèi)核驅(qū)動(dòng)程序中發(fā)現(xiàn)的常見設(shè)計(jì)缺陷。常見的設(shè)計(jì)缺陷是,低權(quán)限應(yīng)用程序可以使用合法的驅(qū)動(dòng)程序功能在Windows操作系統(tǒng)的最敏感區(qū)域(如Windows內(nèi)核)中執(zhí)行惡意操作。“有許多硬件資源通常只能由特權(quán)軟件(如Windows內(nèi)核)訪問,并且需要保護(hù)其免受來自用戶空間應(yīng)用程序的惡意讀/寫,”Eclypsium首席研究員Mickey Shkatov在早些時(shí)候的一封電子郵件中告訴ZDNet周。“當(dāng)簽名驅(qū)動(dòng)程序提供的功能可被用戶空間應(yīng)用程序?yàn)E用以執(zhí)行這些敏感資源的任意讀/寫而沒有任何限制或來自Microsoft的檢查時(shí),設(shè)計(jì)缺陷表面,”他補(bǔ)充道。
Shkatov指責(zé)他在不良編碼實(shí)踐中發(fā)現(xiàn)的問題,這些問題不考慮安全性。
“這是一種常見的軟件設(shè)計(jì)反模式,而不是讓驅(qū)動(dòng)程序只執(zhí)行特定任務(wù),而是以靈活的方式編寫代表用戶空間執(zhí)行任意操作,”他告訴ZDNet。
“通過這種方式構(gòu)建驅(qū)動(dòng)程序和應(yīng)用程序來開發(fā)軟件更容易,但它會打開系統(tǒng)進(jìn)行利用。”
受影響的供應(yīng)商
Shkatov表示,他的公司已通知每個(gè)硬件供應(yīng)商,這些供應(yīng)商正在提供允許用戶空間應(yīng)用程序運(yùn)行內(nèi)核代碼的驅(qū)動(dòng)程序。發(fā)布更新的供應(yīng)商列在下面。
●美國大趨勢國際(AMI)
●華擎
●ASUSTeK計(jì)算機(jī)
●ATI Technologies(AMD)
●映泰
●EVGA
●Getac
●技嘉
●華為
●Insyde
●英特爾
●微星國際(MSI)
●NVIDIA
●Phoenix Technologies
●Realtek Semiconductor
●SuperMicro
●東芝
“一些供應(yīng)商,如英特爾和華為,已經(jīng)發(fā)布了更新。一些像鳳凰城和Insyde這樣的IBV [獨(dú)立BIOS供應(yīng)商]正在向他們的客戶OEM發(fā)布他們的更新,”Shkatov告訴ZDNet。
據(jù)報(bào)道,Eclypsium研究員表示,他沒有透露所有受影響的供應(yīng)商的名稱,因?yàn)橛行?ldquo;由于特殊情況需要額外的時(shí)間”,未來將會發(fā)布未來的修復(fù)和建議。
Eclypsium研究員表示,他計(jì)劃在演講結(jié)束后在GitHub上發(fā)布受影響的驅(qū)動(dòng)程序及其哈希列表,以便用戶和管理員可以阻止受影響的驅(qū)動(dòng)程序。
[該文章將在可用時(shí)通過鏈接進(jìn)行更新。]
此外,Shaktov表示,微軟將使用其HVCI(虛擬機(jī)管理程序強(qiáng)制執(zhí)行的代碼完整性)功能,將向其報(bào)告的驅(qū)動(dòng)程序列入黑名單。
但是,Shaktov表示HVCI功能僅支持第7代Intel CPU及以后版本。舊系統(tǒng)需要手動(dòng)干預(yù),甚至在無法啟用HVCI的較新Intel CPU上也需要。
“為了利用易受攻擊的驅(qū)動(dòng)程序,攻擊者需要已經(jīng)破壞了計(jì)算機(jī),”微軟在一份聲明中說。“為了幫助緩解此類問題,Microsoft建議客戶使用Windows Defender Application Control來阻止已知的易受攻擊的軟件和驅(qū)動(dòng)程序??蛻艨梢酝ㄟ^為Windows Security中的功能強(qiáng)大的設(shè)備啟用內(nèi)存完整性來進(jìn)一步保護(hù)自己.Microsoft努力與行業(yè)合作伙伴合作致力于私下披露漏洞并共同協(xié)助保護(hù)客戶。“