數百萬用戶或面臨惡意軟件提權風險
自去年爆出了多個處理器潛在的安全漏洞,因為這一年,特別是 Meltown、Spectre 及 Foreshadow 三大漏洞及其衍生出來的多個變種,不論是個人還是企業都面臨著嚴峻的漏洞威脅,網絡安全公司 Eclypsium 的研究人員在日前分享了一個稱為「SCREWED DRIVERS」的安全漏洞調查結果,顯示來自 20 家硬件供應商的 40 多個不同驅動程式包含的代碼包含缺陷,可能被利用來加劇特權攻擊升級,名單上的包括了 Intel 、AMD 、NVIDIA、華為、Toshiba 等大型公司,更令人擔憂的是,所有這些驅動程式都經過 Microsoft 認證。
根據 Eclypsium 最新的調查報告提到:「最新發展的漏洞名為“SCREWED DRIVERS”,所有這些漏洞都允許驅動程式充當代理,以執行對硬件資源的高權限訪問,例如對處理器和晶片組I/O空間的讀寫訪問,Model Specific Registers ( MSR )模型特定寄存器、Control Registers ( CR ) 控制寄存器、Debug Registers ( DR ) 調試寄存器、Physical memory 物理記憶體及 Kernel virtual memory 內核虛擬記憶體,從而實現權限提升,因為它可以將攻擊者從用戶模式(Ring 3)移動到OS內核模式(Ring 0)。」
如上圖所示,攻擊者能夠從用戶模式(Ring 3)提權至操作系統的內核模式(Ring 0),這樣惡意軟件就會擁有更多的權限,而驅動程式中的漏洞會使惡意軟件較為輕鬆獲取高等級的權限,還可以授予對具有更高權限 ( 如系統BIOS固件 ) 的硬件及固件接口。由於驅動程式通常是更新固件的一部份,因此驅動程式不僅獲得必要的高權限,還可以取得進行更改的機制。換句話說,惡意軟件可以掃描受害用戶系統上較易受攻擊的驅動程式,然後使用它來獲得對系統和底層固件的完全控制。
Eclypsium 亦展示了如 Slingshot 攻擊、LoJax 惡意軟件等方式攻擊驅動或固件。如LoJax惡意軟件可向受害設備的固件中安裝惡意軟件,並在整個操作系統安裝過程中持續存在。這些設備中的持久性惡意軟件可以讀取、寫入或重新定向,並通過網絡儲存、顯示或發送的數據。
研究人員發現,多間 BIOS 供應商包括 Intel 、AMD、NVIDIA、華為、Toshiba 等驅動程式都存在這個嚴重漏洞 ( 列表如下) ,然而所有不安全的驅動程式都是由有效的證書頒發機構簽署並經過 Microsoft 認證。
.American Megatrends International (AMI)
.ASRock
.ASUSTeK Computer
.ATI Technologies (AMD)
.Biostar
.EVGA
.Getac
.GIGABYTE
.Huawei
.Insyde
.Intel
.Micro-Star International (MSI)
.NVIDIA
.Phoenix Technologies
.Realtek Semiconductor
.SuperMicro
.Toshiba
Eclypsium 表示,這些驅動可以影響所有版本的 Windows,這意味著至少數百萬 Windows 用戶面臨著安全風險,因為這些驅動運行惡意應用程式在用戶級別獲得內核權限,從而可以直接訪問固件和硬件,並強調惡意軟件可以通過這些驅動直接安裝到固件中,因此重裝系統甚至都可能無法徹底解決問題。
如果系統中已存在易受攻擊的驅動程式,則惡意應用程式只需利用它獲取權限。如果電腦中不存在這些驅動程式,惡意應用程式可能會自帶驅動引導用戶安裝,但需要管理員批准才能安裝它們。
對此,Microsoft 建議用戶可以利用 Windows Defender 來阻止未知來源的軟件和驅動程式。