圖片翻攝自https://eclypsium.com/wp-content/uploads/2019/08/Screwed-Drivers.pdf

安全廠商Eclypsium上周在駭客技術年會Black Hat USA上公布研究,20多家硬體廠商的40多款驅動程式有權限升級漏洞,可能導致攻擊者在Windows核心執行惡意程式。英特爾、Nvidia和多家臺灣硬體廠商上榜,不過他們也都完成並釋出修補程式。

作業系統核心為和硬體通訊,需要以核心模式的驅動程式作為中介,在Windows環境下,是使用核心模式驅動程式框架(Kernel Mode Driver Framework,KMDF)。這些驅動程式可以控制Windows電腦大大小小的動作,小至CPU風扇轉速、主機板LED燈的顏色、大至BIOS更新、刷機等。驅動程式也擁有較一般使用者更高權限,也能在更底層作業而不受作業系統管轄。

為了防止攻擊者濫用此類權限,微軟也設計了多種機制,像是WHQL(Windows Hardware Quality Lab)認證、程式簽章、延伸驗證(extended validation,EV)程式碼簽章等,來防止非法、惡意驅動程式載入Windows核心。

研究人員發現,多款經簽章的驅動程式存在安全漏洞,可被當作代理伺服器以便讀寫重要的硬體資源,像是核心記憶體、內部CPU組態暫存器(registers)、PCI介面裝置等等,使這些合法驅動程式反而被攻擊者用來繞過甚至關閉Windows安全機制,進而執行任意程式碼。

Eclypsium 首席研究分析師Mickey Shkatov指出,這些漏洞其實是出在驅動程式編寫實務上未考量安全性所致。程式人員並未限制驅動程式可執行的任務類別,而是為了應用開發的方便而設計得很彈性,讓使用者空間(userspace)中的低權限app,得以在Windows 核心執行程式碼。所有近代的Windows作業系統都受到此漏洞影響。

研究人員發現,有20多家硬體廠商、超過40款驅動程式存在上述漏洞,經過安全廠商通報已完成修補者包括,華碩(ASUSTEK)、ATI、技嘉(Gigabyte)、華為、英特爾、微星(MSI)、nVidia、Phoenix、瑞昱(Realtek)、超微(SuperMicro)、東芝、AMI、華擎(ASRock)、映泰(Biostar)、艾微克(EVGA)、神基(Getac)、系微(Insyde)等,他們有的是直接發布給終端用戶,有的則是發佈給OEM客戶。但仍然有部份廠商需要更多時間才能完成修補。

研究人員計畫之後要把受影響的驅動程式完整名單,公布在GitHub上。


Advertisement

更多 iThome相關內容