Уязвимости в данном случае это сторонние файлы драйверов, которые пользователь не являющийся администратором может использовать для изменения или удаления встроенного ПО системы. Проще говоря эти драйверы могут позволить злоумышленнику, получившему базовый доступ пользователя к вашей системе, удалить или изменить прошивку UEFI вашей системы.Это не единственные функции, которые поддерживают некоторые из этих драйверов. Шесть драйверов предоставляют доступ к памяти на уровне ядра, позволяя злоумышленнику повысить свои полномочия, или делать все, что он хочет. Дополнительные двенадцать драйверов могут позволить злоумышленнику изменить регистры конкретной модели системы (MSR). Это может позволить им обойти и отключить функции безопасности, или просто привести к сбою системы.
Отделу анализа угроз (TAU) компании Carbon Black удалось очистить прошивку системы на испытательном стенде.
В блоге TAU о своих выводах отмечаются недостатки более ранних исследований, проведенных по этой теме, а затем представлен другой автоматизированный метод поиска этих недостатков с использованием Python в сочетании с IDA Pro, популярным дизассемблером используемым реверс-инженерами. В этой работе TAU сосредоточился на драйверах, которые включают возможность доступа к встроенному ПО через порт ввода-вывода и ввод-вывод с отображением в памяти.Затронутые драйверы: stdcdrv64.sys, IoAccess.sys, GEDevDrv.SYS, GtcKmdfBs.sys, PDFWKRNL.sys, TdkLib64.sys, phymem_ext64.sys, rtif.sys, cg6kwin2k.sys, RadHwMgr.sys, FPCIE2COM.sys, ec. siodriverx64.sys , sysconp.sys, ngiodriver.sys, avalueio.sys, tdeio64.sys, WiRwaDrv.sys, CP2X72C.SYS, SMARTEIO64.SYS, AODDriver.sys, dellbios.sys, stdcdrvws64.sys, sepdrv3_1.sys, kerneld.amd64, hwd защита .sys, VdBSv64.sys, nvolock.sys, rtport.sys, ComputerZ.sys, SBIOSIO64.sys, SysInfoDetectorX64.sys, nvaudio.sys, FH-EtherCAT_DIO.sys, atlAccess.sys
Многие из обнаруженных TAU драйверов принадлежат крупным производителям, таким как Intel, AMD и Dell, и это лишь некоторые из них. Это не сомнительные сторонние программы, загруженные с какого-то сомнительного вредоносного сайта, а официальные драйверы, устанавливаемые этими корпорациями для обновлений прошивки.
Поставщики продемонстрировали свой эксплойт на полностью пропатченой системе Windows 11.
К сожалению хотя TAU сообщила об этих недостатках поставщикам, только двое из них фактически устранили проблемы. Phoenix Technologies исправила свой драйвер TdkLib64.sys, а AMD также обновила PDFWKRNL.SYS. В результате остается множество уязвимых для эксплойтов драйверов, хотя последняя версия Windows 11 блокирует некоторые из них с помощью функции целостности кода, защищенной гипервизором. Предполагается, что HVCI будет работать и в Windows 10, но исследователь безопасности Уилл Дорманн отмечает, что в настоящее время он игнорирует черный список драйверов.
