Forskere fra VMware Carbon Black har afsløret en bekymrende åbenbaring - 34 unik Windows-drivermodel (WDM) og Windows Driver Frameworks (WDF) chauffører er modtagelige for udnyttelse af ikke-privilegerede trusselsaktører. Eftervirkningerne er voldsomme, tillader ondsindede enheder at overtage fuldstændig kontrol over enheder og udføre vilkårlig kode på de underliggende systemer.
Takahiro Haruyama, en senior trusselsforsker hos VMware Carbon Black, kaster lys over situationens alvor. “Ved at udnytte driverne, en hacker uden privilegier kan slette/ændre firmware og/eller hæve [operativsystem] privilegier,” advarer han, understreger potentialet for væsentlig skade.
Denne forskning bygger på tidligere undersøgelser som ScrewedDrivers og POPKORN, som brugte symbolsk henrettelse til at automatisere opdagelsen af sårbare chauffører. Fokus her er på drivere, der kan prale af firmwareadgang via port I/O og hukommelseskortlagt I/O, øger udnyttelsesomfanget.
CVE-2023-20598: Identifikation af de skyldige
Listen over sårbare chauffører lyder som en overvågningsliste for cybersikkerhed. Nogle af de bemærkelsesværdige poster inkluderer AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, og TdkLib64.sys (CVE-2023-35841). Disse chauffører, en gang kompromitteret, åbne gatewayen for uautoriseret adgang og manipulation af kritiske systemkomponenter.
Konsekvenserne af disse sårbarheder, herunder CVE-2023-20598, er dybe. Seks ud af 34 drivere giver adgang til kernehukommelsen, giver angribere mulighed for at hæve privilegier og overvinde sikkerhedsløsninger. Desuden, et dusin drivere kan udnyttes til at undergrave sikkerhedsmekanismer, inklusive randomisering af kerneadresserumslayout (KASLR), et afgørende forsvarslag.
Syv chauffører, såsom Intels stdcdrv64.sys, udgør en mere ildevarslende trussel - de tillader sletning af firmware i SPI-flashhukommelsen, gør hele systemet ustartbart. Intel har reageret omgående ved at udstede en rettelse for at løse dette kritiske problem.
Ud over de umiddelbare sårbarheder ligger en sofistikeret teknik kendt som Bring Your Own Vulnerable Driver (BYOVD). VMware identificerede WDF-drivere, såsom WDTKernel.sys og H2OFFT64.sys, hvilken, mens den ikke i sagens natur er sårbar med hensyn til adgangskontrol, kan bevæbnes af privilegerede trusselsaktører. Denne taktik er blevet brugt af berygtede grupper, herunder den nordkoreanske Lazarus-gruppe, at opnå forhøjede rettigheder og deaktivere sikkerhedssoftware, effektivt undgå opdagelse.
“Det aktuelle omfang af de API'er/instruktioner, der er målrettet af [IDAPython-script til automatisering af statisk kodeanalyse af x64 sårbare drivere] er smal og kun begrænset til firmwareadgang,” advarer Haruyama. Men, formbarheden af denne teknik gør det nemt at udvide koden til at dække andre angrebsvektorer, såsom at afslutte vilkårlige processer.
Konklusion
I takt med at det digitale landskab bliver mere og mere komplekst, opdagelsen af disse sårbare bilister understreger det evige kat-og-mus-spil mellem cybersikkerhedseksperter og trusselsaktører. Rettidig patches, øget bevidsthed, og en proaktiv tilgang til systemsikkerhed er afgørende for at modarbejde potentielle trusler. Det er industriens ansvar at samarbejde, innovere, og vær et skridt foran i den igangværende kamp for en sikker digital fremtid.