До 34 уникальных уязвимых драйверов модели драйверов Windows ( WDM ) и инфраструктур драйверов Windows ( WDF ) могут быть использованы непривилегированными злоумышленниками для получения полного контроля над устройствами и выполнения произвольного кода в базовых системах.
Используя драйверы, злоумышленник без привилегий может стереть/изменить прошивку и/или повысить привилегии [операционной системы]
Исследование расширяет предыдущие исследования, такие как ScrewedDrivers и POPKORN, в которых символическое выполнение использовалось для автоматизации обнаружения уязвимых драйверов. В нем особое внимание уделяется драйверам, которые обеспечивают доступ к встроенному ПО через порт ввода-вывода и ввод-вывод, отображаемый в памяти.
Имена некоторых уязвимых драйверов:
- AODDriver.sys
- ComputerZ.sys
- dellbios.sys
- GEDevDrv.sys
- GtcKmdfBs.sys
- IoAccess.sys
- kerneld.amd64
- ngiodriver.sys
- nvolock.sys
- PDFWKRNL.sys (CVE) . -2023-20598 ),
- RadHwMgr.sys
- rtif.sys
- rtport.sys
- stdcdrv64.sys
- TdkLib64.sys ( CVE-2023-35841 ).
Из 34 драйверов шесть разрешают доступ к памяти ядра, которым можно злоупотреблять для повышения привилегий и обхода решений безопасности. Двенадцать драйверов могут быть использованы для нарушения механизмов безопасности, таких как рандомизация структуры адресного пространства ядра ( KASLR ).
Семь драйверов, включая stdcdrv64.sys от Intel, можно использовать для стирания прошивки во флэш-памяти SPI , что делает систему невозможной для загрузки. С тех пор Intel выпустила исправление этой проблемы.
VMware заявила, что также выявила драйверы WDF, такие как WDTKernel.sys и H2OFFT64.sys, которые не уязвимы с точки зрения контроля доступа, но могут быть легко использованы привилегированными злоумышленниками в качестве оружия для осуществления так называемой атаки «Принеси свой собственный уязвимый драйвер» (BYOVD)
Переведено: https://thehackernews.com/2023/11/researchers-find-34-windows-drivers.html
Полезная статья! Поставьте лайк и подписывайтесь