Forscher von VMware Carbon Black haben eine besorgniserregende Entdeckung gemacht: 34 einzigartiges Windows-Treibermodell (WDM) und Windows-Treiber-Frameworks (WDF) Treiber sind anfällig für die Ausnutzung durch nicht privilegierte Bedrohungsakteure. Die Auswirkungen sind verheerend, Es ermöglicht böswilligen Einheiten, die vollständige Kontrolle über Geräte zu übernehmen und beliebigen Code auf den zugrunde liegenden Systemen auszuführen.
Takahiro Haruyama, ein leitender Bedrohungsforscher bei VMware Carbon Black, gibt Aufschluss über den Ernst der Lage. “Durch Ausnutzung der Treiber, Ein Angreifer ohne Privilegien kann die Firmware löschen/ändern und/oder erhöhen [Betriebssystem] Privilegien,” er warnt, Dies unterstreicht das Potenzial für erhebliche Schäden.
Diese Forschung baut auf früheren Studien wie ScrewedDrivers und POPKORN auf, Dabei wurde eine symbolische Ausführung eingesetzt, um die Erkennung anfälliger Treiber zu automatisieren. Der Schwerpunkt liegt hier auf Treibern, die über Port-I/O und speicherabgebildete I/O auf die Firmware zugreifen können, Erweiterung des Umfangs der Ausbeutung.
CVE-2023-20598: Identifizierung der Schuldigen
Die Liste der gefährdeten Fahrer liest sich wie eine Beobachtungsliste für Cybersicherheit. Zu den bemerkenswerten Einträgen gehört AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, und TdkLib64.sys (CVE-2023-35841). Diese Treiber, einmal kompromittiert, Öffnen Sie das Einfallstor für unbefugten Zugriff und Manipulation kritischer Systemkomponenten.
Die Auswirkungen dieser Schwachstellen, einschließlich CVE-2023-20598, sind tiefgreifend. Sechs davon 34 Treiber gewähren Kernel-Speicherzugriff, Dies bietet Angreifern die Möglichkeit, Privilegien zu erweitern und Sicherheitslösungen zu überwinden. Außerdem, Ein Dutzend Treiber können ausgenutzt werden, um Sicherheitsmechanismen zu untergraben, einschließlich der Randomisierung des Kernel-Adressraum-Layouts (KASLR), eine entscheidende Verteidigungsschicht.
Sieben Fahrer, wie stdcdrv64.sys von Intel, stellen eine bedrohlichere Bedrohung dar – sie ermöglichen das Löschen der Firmware im SPI-Flash-Speicher, Dadurch wird das gesamte System nicht mehr bootfähig. Intel hat umgehend reagiert und einen Fix zur Behebung dieses kritischen Problems herausgegeben.
Hinter den unmittelbaren Schwachstellen steckt eine ausgefeilte Technik namens „Bring Your Own Vulnerable Driver“. (BYOVD). VMware hat WDF-Treiber identifiziert, wie WDTKernel.sys und H2OFFT64.sys, was, obwohl sie im Hinblick auf die Zugangskontrolle nicht grundsätzlich anfällig sind, können von privilegierten Bedrohungsakteuren als Waffe eingesetzt werden. Diese Taktik wurde von berüchtigten Gruppen angewendet, einschließlich der mit Nordkorea verbundenen Lazarus-Gruppe, um erhöhte Berechtigungen zu erlangen und Sicherheitssoftware zu deaktivieren, effektiv der Entdeckung entgehen.
“Der aktuelle Umfang der APIs/Anweisungen, auf die die abzielt [IDAPython-Skript zur Automatisierung der statischen Codeanalyse von x64-anfälligen Treibern] ist eng und nur auf den Firmware-Zugriff beschränkt,” warnt Haruyama. Jedoch, Die Formbarkeit dieser Technik macht es einfach, den Code zu erweitern, um andere Angriffsvektoren abzudecken, wie das Beenden beliebiger Prozesse.
Abschluss
Da die digitale Landschaft immer komplexer wird, Die Entdeckung dieser anfälligen Treiber unterstreicht das ständige Katz-und-Maus-Spiel zwischen Cybersicherheitsexperten und Bedrohungsakteuren. Rechtzeitige Patches, erhöhtes Bewusstsein, und ein proaktiver Ansatz zur Systemsicherheit sind unerlässlich, um potenzielle Bedrohungen abzuwehren. Es liegt in der Verantwortung der Industrie, zusammenzuarbeiten, innovieren, und bleiben Sie im Kampf um eine sichere digitale Zukunft immer einen Schritt voraus.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: