Драйверы большинства производителей оборудования содержат уязвимости

Сотрудники исследовательской компании Eclypsium подготовили отчет под названием Screwed Drivers. Сама фирма специализируется на опросах информационной безопасности.

Из отчета стало известно, что в модели драйверов более 40 производителей оборудования есть уязвимость, которая позволит вредоносному программному обеспечению получить повышенные привилегии - это обеспечивает неограниченный доступ к оборудованию. Об этом сообщает Информатор Tech.

В список производителей оборудования, которые выпускают драйверы, одобренные и подписанные корпорацией Microsoft в рамках своей программы WHQL, входят крупные бренды: Intel, AMD, NVIDIA, AMI, Phoenix, ASUS, Toshiba, SuperMicro, GIGABYTE, MSI и EVGA. Многие из них занимаются производством материнских плат, которые разрабатывают приложения для мониторинга оборудования и разгона системы. Для такого программного обеспечения устанавливаются драйверы режима ядра в Windows аппаратного доступа для Ring-0, уровня с наибольшими привилегиями.

В Eclypsium в рамках исследования сообщили о 3 классах атак, связанных с повышением привилегий:

• RWEverything
• LoJax (первое вредоносное ПО для UEFI)
• SlingShot

В основе этих атак лежит эксплуатация способа, которым Windows продолжает работать с драйверами, подписанные с использованием поврежденных, устаревших или просроченных сертификатов.

RWEverything - утилита для доступа ко всем аппаратным интерфейсам через программное обеспечение. Она работает в пользовательском пространстве, однако с одноразово установленным и подписанным драйвером режима ядра RWDrv.sys действует как проводник для вредоносных программ, чтобы получить доступ Ring-0 в системе.

LoJax - это инструмент для внедрения, который использует RWDrv.sys для получения доступа к контроллеру флэш-памяти SPI в чипсете материнской платы, чтобы модифицировать флэш-память UEFI BIOS.

Slingshot - APT со своим собственным вредоносным драйвером. Он использует другие драйверы с MSR для чтения/записи, чтобы обойти принудительное применение подписи драйверов для установки руткита (программа или набор программ, который позволяет замаскировать присутствие в системе вредоносного программного обеспечения).

Компания пока не делится информацией об этих уязвимостях. При этом, она активно сотрудничает с некоторыми из перечисленных производителей оборудования, чтобы устранить проблему.

Ранее сообщалось, что хакер научился взламывать компьютеры Apple при помощи Lightning. Помимо этого, основатель Huawei хочет создать «Непобедимую железную армию» для борьбы с США.

Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале и на Facebook.

Apple Huawei Intel Microsoft NVIDIA