去年爆出了多个处理器存在潜在的安全漏洞,特别是 Meltown、Spectre 及 Foreshadow 三大漏洞及其衍生出来的多个变种,不论是个人还是企业都面临着严峻的漏洞威胁,网络安全公司 Eclypsium 的研究人员在日前分享了一个称为「SCREWED DRIVERS」的安全漏洞调查结果,显示来自20家硬件供应商的40多个不同驱动程序包含的代码包含缺陷,可能被利用来加剧特权攻击升级,名单上的包括了 Intel 、AMD 、NVIDIA、华为、Toshiba 等大型公司,更令人担忧的是,所有这些驱动程序都经过了微软认证。
根据Eclypsium最新的调查报告:「最新发展的漏洞名为“SCREWED DRIVERS”,所有这些漏洞都允许驱动程序充当代理,以执行对硬件资源的高权限访问,例如对处理器和芯片组I/O空间的读写访问,Model Specific Registers ( MSR )模型特定寄存器、Control Registers ( CR ) 控制寄存器、Debug Registers ( DR ) 调试寄存器、Physical memory 物理内存及 Kernel virtual memory 内核虚拟内存,从而实现权限提升,因为它可以将攻击者从用户模式(Ring 3)移动到OS内核模式(Ring 0)。」
如上图所示,攻击者能够从用户模式(Ring 3)提权至操作系统的内核模式(Ring 0),这样恶意软件就会拥有更多的权限,而驱动程序中的漏洞会使恶意软件较为轻松获取高等级的权限,还可以授予对具有更高权限 ( 如系统BIOS固件 ) 的硬件及固件接口。由于驱动程序通常是更新固件的一部分,因此驱动程序不仅获得必要的高权限,还可以取得进行更改的机制。换句话说,恶意软件可以扫描受害用户系统上较易受攻击的驱动程序,然后使用它来获得对系统和底层固件的完全控制。
Eclypsium 展示了如 Slingshot 攻击、LoJax 恶意软件等方式攻击驱动或固件。如LoJax恶意软件可向受害设备的固件中安装恶意软件,并在整个操作系统安装过程中持续存在。这些设备中的持久性恶意软件可以读取、写入或重新定向,并通过网络储存、显示或发送数据。
研究人员发现,多家BIOS供应商包括 Intel 、AMD、NVIDIA、华为、Toshiba 等驱动程序都存在这个严重漏洞 ( 列表如下) ,然而所有不安全的驱动程序都是由有效的证书颁发机构签署并经过微软认证。
.American Megatrends International (AMI)
.ASRock
.ASUSTeK Computer
.ATI Technologies (AMD)
.Biostar
.EVGA
.Getac
.GIGABYTE
.Huawei
.Insyde
.Intel
.Micro-Star International (MSI)
.NVIDIA
.Phoenix Technologies
.Realtek Semiconductor
.SuperMicro
.Toshiba
Eclypsium 表示,这些驱动可以影响所有版本的Windows,这意味着至少数百万 Windows 用户面临安全风险,因为这些驱动运行恶意应用程序在用户级别获得内核权限,从而可以直接访问固件和硬件,并强调恶意软件可以通过这些驱动直接安装到固件中,因此重装系统甚至都可能无法彻底解决问题。
如果系统中已存在易受攻击的驱动程序,则恶意应用程序只需利用它获取权限。如果电脑中不存在这些驱动程序,恶意应用程序可能会自带驱动引导用户安装,但需要管理员批准才能安装它们。
对此,微软建议用户可以利用 Windows Defender 来阻止未知来源的软件和驱动程序。
领取专属 10元无门槛券
私享最新 技术干货