逾40款硬件驱动程式漏洞可让骇客在Windows核心执行恶意程式,Intel、Nvidia及多家台
湾厂商上榜
文/林妍溱 | 2019-08-12发表
安全厂商Eclypsium上周在骇客技术年会Black Hat USA上公布研究,20多家硬件厂商的40
多款驱动程式有权限升级漏洞,可能导致攻击者在Windows核心执行恶意程式。英特尔、
Nvidia和多家台湾硬件厂商上榜,不过他们也都完成并释出修补程式。
作业系统核心为和硬件通讯,需要以核心模式的驱动程式作为中介,在Windows环境下,
是使用核心模式驱动程式框架(Kernel Mode Driver Framework,KMDF)。这些驱动程式
可以控制Windows电脑大大小小的动作,小至CPU风扇转速、主机板LED灯的颜色、大至
BIOS更新、刷机等。驱动程式也拥有较一般使用者更高权限,也能在更底层作业而不受作
业系统管辖。
为了防止攻击者滥用此类权限,微软也设计了多种机制,像是WHQL(Windows Hardware
Quality Lab)认证、程式签章、延伸验证(extended validation,EV)程式码签章等,
来防止非法、恶意驱动程式加载Windows核心。
但研究人员发现,多款经签章的驱动程式存在安全漏洞,可被当作代理服务器以便读写重
要的硬件资源,像是核心内存、内部CPU组态暂存器(registers)、PCI接口装置等等
,使这些合法驱动程式反而被攻击者用来绕过甚至关闭Windows安全机制,进而执行任意
程式码。
Eclypsium 首席研究分析师Mickey Shkatov指出,这些漏洞其实是出在驱动程式编写实务
上未考量安全性所致。程式人员并未限制驱动程式可执行的任务类别,而是为了应用开发
的方便而设计得很弹性,让使用者空间(userspace)中的低权限app,得以在Windows 核
心执行程式码。所有近代的Windows作业系统都受到此漏洞影响。
研究人员发现,有20多家硬件厂商、超过40款驱动程式存在上述漏洞,经过安全厂商通报
已完成修补者包括,华硕(ASUSTEK)、ATI、技嘉(Gigabyte)、华为、英特尔、微星(
MSI)、nVidia、Phoenix、瑞昱(Realtek)、超微(SuperMicro)、东芝、AMI、华擎(
ASRock)、映泰(Biostar)、艾微克(EVGA)、神基(Getac)、系微(Insyde)等,他
们有的是直接发布给终端用户,有的则是发布给OEM客户。但仍然有部份厂商需要更多时
间才能完成修补。
研究人员计画之后要把受影响的驱动程式完整名单,公布在GitHub上。
https://ithome.com.tw/news/132355
723.1415926:有漏洞算圆周率才比较快