研究發現超過 40 個 Windows 裝置驅動程式包含提升許可權的漏洞

在今年拉斯維加斯舉行的 DEF CON 會議上，來自網路安全公司 Eclypsium 的研究人員分享了他們的調查結果。結果顯示，來自 20 家硬體供應商的 40 多名不同驅動程式包含的程式碼包含缺陷，可能被利用來加劇特權攻擊升級。更令人擔憂的是，所有這些驅動程式都經過微軟認證。

受影響的公司名單包括主要的 BIOS 供應商以及華碩、華為、英特爾、NVIDIA 和東芝等硬體製造商。Eclypsium 還提醒說，這些驅動程式會影響所有版本的 Windows，這意味著數百萬使用者可能面臨風險。

這些驅動程式造成的風險是它們可能允許使用者級別的惡意應用程式獲得核心許可權，從而直接訪問韌體和硬體本身。這也可能意味著惡意軟體可以直接安裝到韌體中，因此，即使重新安裝作業系統也不足以擺脫它。

Eclypsium 解釋了這些漏洞的的問題來源：

所有這些漏洞都允許驅動程式充當代理，以執行對硬體資源的高許可權訪問，例如對處理器和晶片組 I/O 空間的讀寫訪問，模型特定暫存器（MSR），控制暫存器（CR），除錯暫存器（DR），實體記憶體和核心虛擬記憶體，從而實現許可權提升，因為它可以將攻擊者從使用者模式（Ring 3）移動到 OS 核心模式（Ring 0）。保護環的概念總結在下圖中，其中每個內環被逐漸授予更多特權。值得注意的是，即使是管理員也可以與其他使用者一起在 Ring 3（並且沒有更深層次）進行操作。訪問核心不僅可以為攻擊者提供作業系統可用的最高許可權訪問許可權，還可以授予對具有更高許可權（如系統 BIOS 韌體）的硬體和韌體介面的訪問許可權。

由於驅動程式通常是更新韌體的手段，“驅動程式不僅提供必要的許可權，還提供進行更改的機制，”Eclypsium 指出。如果系統中已存在易受攻擊的驅動程式，則惡意應用程式只需搜尋它以提升許可權。但是，如果驅動程式不存在，惡意應用程式可能會帶驅動程式，但需要管理員批准才能安裝驅動程式。

Eclypsium 的首席研究員 Mickey Shkatov 在給 ZDNet 的一份宣告中指出，“微軟將使用其 HVCI（虛擬機器管理程式強制執行的程式碼完整性）功能，將報告給他們的驅動程式列入黑名單。”但是，該功能僅適用於第7代及更高版本的英特爾處理器，因此在舊 CPU 或甚至禁用 HCVI 的較新 CPU 的情況下需要手動解除安裝驅動程式。

微軟進一步澄清：“為了利用易受攻擊的驅動程式，攻擊者需要已經破壞了計算機。”但是，這裡的問題是，在上述特權級別表示中已經在 Ring 3 上破壞了系統的攻擊者可以獲得核心訪問許可權。

為了保護自己免受不良驅動因素的影響，微軟建議使用者使用“Windows Defender 應用程式控制來阻止已知的易受攻擊的軟體和驅動程式”。它還表示，“客戶可以通過為 Windows 安全中的功能強大的裝置啟用記憶體完整性來進一步保護自己。”

Eclypsium 提供了一個完整的列表，列出了所有已經在其部落格文章中更新過驅動程式的供應商，儘管他們注意到一些受影響的供應商尚未榜上有名，因為他們仍在努力提供修復。研究人員還會在 GitHub 上傳一份受影響的驅動程式及其雜湊列表，以便使用者可以在他們的裝置上手動禁用它們。

來源：cnBeta.COM

更多資訊

紐西蘭航空公司 11 萬客戶資料被洩露 專家說問題不簡單

紐西蘭航空公司 112,000 名客戶的資料被洩露後，專家說有長期風險。紐西蘭航空公司現在面臨的問題是，資料洩露事件是如何發生的？以及為什麼公司要花上九天時間才通知到受到網路釣魚攻擊的客戶。

來源：紐西蘭生活網
詳情連結：https://www.dbsec.cn/blog/article/4893.html 

攻擊者使用 SQLite 資料庫中的惡意程式碼攻擊應用程式

在近日拉斯維加斯 DEF CON 安全會議上釋出的演示中，Check Point 安全研究員 Omer Gull 展示了一個受汙染的 SQLite 資料庫的演示，該資料庫劫持了惡意軟體操作的命令和控制伺服器，以及使用 SQLite 在 iOS 裝置上實現永續性的惡意軟體。

來源：ZDNet
詳情連結：https://www.dbsec.cn/blog/article/4895.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視