I ricercatori di VMware Carbon Black hanno portato alla luce una rivelazione preoccupante: 34 modello di driver Windows unico (WDM) e framework dei driver Windows (WDF) i conducenti sono suscettibili di sfruttamento da parte di attori di minacce non privilegiati. Le ripercussioni sono disastrose, consentendo a entità malevole di prendere il controllo completo dei dispositivi ed eseguire codice arbitrario sui sistemi sottostanti.
Takahiro Haruyama, un ricercatore senior sulle minacce presso VMware Carbon Black, fa luce sulla gravità della situazione. “Sfruttando i driver, un utente malintenzionato senza privilegi può cancellare/alterare il firmware e/o elevarlo [sistema operativo] privilegi,” avverte, sottolineando il rischio di danni sostanziali.
Questa ricerca si basa su studi precedenti come ScrewedDrivers e POPKORN, che utilizzava l'esecuzione simbolica per automatizzare la scoperta di conducenti vulnerabili. L'attenzione qui è sui driver che vantano accesso al firmware tramite porta I/O e I/O mappato in memoria, ampliando la portata dello sfruttamento.
CVE-2023-20598: Individuazione dei colpevoli
L’elenco dei conducenti vulnerabili si presenta come una lista di controllo della sicurezza informatica. Alcune delle voci degne di nota includono AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngidriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, e TdkLib64.sys (CVE-2023-35841). Questi driver, una volta compromesso, aprire il gateway per l'accesso non autorizzato e la manipolazione dei componenti critici del sistema.
Le implicazioni di queste vulnerabilità, incluso CVE-2023-20598, sono profondi. Sei su 34 i driver concedono l'accesso alla memoria del kernel, fornendo agli aggressori una via per elevare i privilegi e superare le soluzioni di sicurezza. In aggiunta, una dozzina di driver possono essere sfruttati per sovvertire i meccanismi di sicurezza, inclusa la randomizzazione del layout dello spazio degli indirizzi del kernel (KASLR), uno strato di difesa cruciale.
Sette autisti, come stdcdrv64.sys di Intel, rappresentano una minaccia ancora più inquietante: consentono la cancellazione del firmware nella memoria flash SPI, rendendo l'intero sistema non avviabile. Intel ha risposto prontamente rilasciando una soluzione per risolvere questo problema critico.
Al di là delle vulnerabilità immediate si trova una tecnica sofisticata nota come Bring Your Own Vulnerable Driver (BYOVD). VMware ha identificato i driver WDF, come WDTKernel.sys e H2OFFT64.sys, quale, pur non essendo intrinsecamente vulnerabile in termini di controllo degli accessi, possono essere utilizzati come armi da attori privilegiati delle minacce. Questa tattica è stata impiegata da gruppi noti, compreso il gruppo Lazarus, legato alla Corea del Nord, per ottenere privilegi elevati e disabilitare il software di sicurezza, eludere efficacemente il rilevamento.
“L'ambito attuale delle API/istruzioni prese di mira da [Script IDAPython per automatizzare l'analisi del codice statico dei driver vulnerabili x64] è ristretto e limitato solo all'accesso al firmware,” avverte Haruyama. Tuttavia, la malleabilità di questa tecnica rende facile estendere il codice per coprire altri vettori di attacco, come la conclusione di processi arbitrari.
Conclusione
Poiché il panorama digitale diventa sempre più complesso, la scoperta di questi fattori vulnerabili sottolinea il perpetuo gioco del gatto e del topo tra esperti di sicurezza informatica e autori di minacce. Patch tempestive, consapevolezza accresciuta, e un approccio proattivo alla sicurezza del sistema sono essenziali per contrastare potenziali minacce. Spetta all’industria collaborare, innovare, e rimanere un passo avanti nella battaglia in corso per un futuro digitale sicuro.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: