VMware Carbon Black の研究者は、懸念すべき事実を発見しました — 34 独自の Windows ドライバー モデル (WDM) および Windows ドライバー フレームワーク (WDF) ドライバーは、権限を持たない攻撃者による悪用を受けやすい. 影響は悲惨だ, 悪意のある存在がデバイスを完全に制御し、基盤となるシステム上で任意のコードを実行できるようにします。.
春山貴弘, VMware Carbon Black の上級脅威研究者, 状況の深刻さを明らかにする. “ドライバーを悪用することで, 権限のない攻撃者は、ファームウェアを消去/変更したり、昇格したりする可能性があります。 [オペレーティング·システム] 特権,” 彼は警告する, 重大な損害が発生する可能性を強調する.
この研究は、ScrewedDrivers や POPKORN などの以前の研究に基づいています。, シンボリック実行を採用して脆弱なドライバーの検出を自動化. ここで焦点を当てているのは、ポート I/O およびメモリ マップド I/O を介したファームウェア アクセスを誇るドライバーです。, 悪用範囲の拡大.
CVE-2023-20598: 犯人の特定
脆弱なドライバーのリストはサイバーセキュリティ監視リストのようなもの. 注目すべきエントリには、AODDriver.sys が含まれます。, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvolock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, およびTdkLib64.sys (CVE-2023-35841). これらのドライバー, 一度侵害された, 重要なシステムコンポーネントへの不正アクセスと操作のためにゲートウェイを開く.
これらの脆弱性の影響, CVE-2023-20598 を含む, 奥深いです. そのうちの6つは、 34 ドライバーはカーネル メモリ アクセスを許可します, 攻撃者が特権を昇格させてセキュリティ ソリューションを突破する手段を提供する. 加えて, 十数個のドライバが悪用されてセキュリティ メカニズムが破壊される可能性がある, カーネルアドレス空間レイアウトのランダム化を含む (カスラー), 重要な防御層.
7人のドライバー, Intel の stdcdrv64.sys など, より不気味な脅威が存在します。SPI フラッシュ メモリ内のファームウェアの消去が可能になります。, システム全体を起動不能にする. インテル この重大な問題に対処するための修正プログラムを発行することで迅速に対応しました.
差し迫った脆弱性の先には、Bring Your Own Vulnerable Driver として知られる高度な技術が存在します。 (BYOVD). VMware が識別した WDF ドライバー, WTDKernel.sys や H2OFFT64.sys など, どれの, アクセス制御の点では本質的に脆弱ではありませんが、, 特権を持つ攻撃者によって武器化される可能性がある. この戦術は悪名高いグループによって使用されています, 北朝鮮と関連のあるラザラス・グループを含む, 昇格した権限を取得し、セキュリティ ソフトウェアを無効にする, 効果的に検出を回避する.
“の対象となる API/命令の現在のスコープ。 [x64 脆弱性ドライバーの静的コード分析を自動化する IDAPython スクリプト] 範囲が狭く、ファームウェアへのアクセスのみに制限されています,” 春山は警告する。. でも, この手法の柔軟性により、コードを拡張して他の攻撃ベクトルをカバーすることが容易になります。, 任意のプロセスの終了など.
結論
デジタル環境がますます複雑になるにつれて, これらの脆弱なドライバーの発見は、サイバーセキュリティの専門家と脅威アクターの間の絶え間ないいたちごっこを浮き彫りにしています。. タイムリーなパッチ, 意識の高まり, 潜在的な脅威を阻止するには、システム セキュリティへの積極的なアプローチが不可欠です. 協力する責任は業界にある, 革新する, 安全なデジタルの未来に向けた継続的な戦いで一歩先を行きましょう.