Les chercheurs de VMware Carbon Black ont découvert une révélation inquiétante : 34 Modèle de pilote Windows unique (WDM) et cadres de pilotes Windows (WDF) les conducteurs sont susceptibles d’être exploités par des acteurs malveillants non privilégiés. Les répercussions sont désastreuses, permettre à des entités malveillantes de prendre le contrôle total des appareils et d'exécuter du code arbitraire sur les systèmes sous-jacents.
Takahiro Haruyama, chercheur principal en menaces chez VMware Carbon Black, met en lumière la gravité de la situation. “En exploitant les pilotes, un attaquant sans privilège peut effacer/modifier le firmware et/ou élever [le système d'exploitation] privilèges,” il prévient, soulignant le potentiel de dommages importants.
Cette recherche s'appuie sur des études antérieures comme ScrewedDrivers et POPKORN, qui utilisait l'exécution symbolique pour automatiser la découverte des pilotes vulnérables. L'accent est mis ici sur les pilotes offrant un accès au micrologiciel via les E/S du port et les E/S mappées en mémoire., amplifier la portée de l’exploitation.
CVE-2023-20598: Identifier les coupables
La liste des conducteurs vulnérables se lit comme une liste de surveillance en matière de cybersécurité. Certaines des entrées remarquables incluent AODDriver.sys, OrdinateurZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, et TdkLib64.sys (CVE-2023-35841). Ces pilotes, une fois compromis, ouvrir la passerelle pour tout accès non autorisé et toute manipulation des composants critiques du système.
Les implications de ces vulnérabilités, y compris CVE-2023-20598, sont profonds. Six sur 34 les pilotes accordent l'accès à la mémoire du noyau, offrant aux attaquants un moyen d'élever leurs privilèges et de contourner les solutions de sécurité. En outre, une douzaine de pilotes peuvent être exploités pour contourner les mécanismes de sécurité, y compris la randomisation de la disposition de l'espace d'adressage du noyau (KASLR), une couche de défense cruciale.
Sept pilotes, comme stdcdrv64.sys d'Intel, présentent une menace plus inquiétante : ils permettent l'effacement du micrologiciel dans la mémoire flash SPI, rendant l'ensemble du système impossible à démarrer. Intel a répondu rapidement en publiant un correctif pour résoudre ce problème critique.
Au-delà des vulnérabilités immédiates se trouve une technique sophistiquée connue sous le nom de Bring Your Own Vulnerable Driver. (BYOVD). VMware a identifié les pilotes WDF, tels que WDTKernel.sys et H2OFFT64.sys, laquelle, bien qu’il ne soit pas intrinsèquement vulnérable en termes de contrôle d’accès, peut être utilisé comme une arme par des acteurs menaçants privilégiés. Cette tactique a été employée par des groupes notoires, y compris le groupe Lazarus, lié à la Corée du Nord, pour obtenir des privilèges élevés et désactiver les logiciels de sécurité, échapper efficacement à la détection.
“La portée actuelle des API/instructions ciblées par le [Script IDAPython pour automatiser l'analyse du code statique des pilotes vulnérables x64] est étroit et limité uniquement à l’accès au micrologiciel,” prévient Haruyama. Cependant, la malléabilité de cette technique permet d'étendre facilement le code pour couvrir d'autres vecteurs d'attaque, comme mettre fin à des processus arbitraires.
Conclusion
Alors que le paysage numérique devient de plus en plus complexe, la découverte de ces facteurs vulnérables souligne le jeu perpétuel du chat et de la souris entre les experts en cybersécurité et les acteurs de la menace. Correctifs opportuns, sensibilisation accrue, et une approche proactive de la sécurité des systèmes sont essentielles pour contrecarrer les menaces potentielles. Il incombe à l’industrie de collaborer, innover, et garder une longueur d'avance dans la bataille en cours pour un avenir numérique sécurisé.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: