Onderzoekers van VMware Carbon Black hebben een zorgwekkende onthulling ontdekt: 34 uniek Windows-stuurprogrammamodel (WDM) en Windows-stuurprogrammaframeworks (WDF) Drivers zijn vatbaar voor uitbuiting door niet-geprivilegieerde dreigingsactoren. De gevolgen zijn verschrikkelijk, waardoor kwaadaardige entiteiten de volledige controle over apparaten kunnen overnemen en willekeurige code op de onderliggende systemen kunnen uitvoeren.
Takahiro Haruyama, een senior dreigingsonderzoeker bij VMware Carbon Black, werpt licht op de ernst van de situatie. “Door de chauffeurs uit te buiten, een aanvaller zonder privileges kan firmware wissen/wijzigen en/of verbeteren [besturingssysteem] privileges,” waarschuwt hij, wat de kans op aanzienlijke schade onderstreept.
Dit onderzoek bouwt voort op eerdere onderzoeken zoals ScrewedDrivers en POPKORN, waarbij gebruik werd gemaakt van symbolische uitvoering om de ontdekking van kwetsbare bestuurders te automatiseren. De focus ligt hier op stuurprogramma's die firmwaretoegang bieden via poort-I/O en geheugen-toegewezen I/O, waardoor de omvang van de exploitatie wordt vergroot.
CVE-2023-20598: Het identificeren van de daders
De lijst met kwetsbare stuurprogramma's leest als een cybersecurity-watchlist. Enkele van de opmerkelijke vermeldingen zijn AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, en TdkLib64.sys (CVE-2023-35841). Deze chauffeurs, eens gecompromitteerd, open de gateway voor ongeautoriseerde toegang en manipulatie van kritieke systeemcomponenten.
De gevolgen van deze kwetsbaarheden, inclusief CVE-2023-20598, zijn diepgaand. Zes van de 34 stuurprogramma's verlenen toegang tot het kernelgeheugen, het bieden van een mogelijkheid voor aanvallers om hun privileges te vergroten en beveiligingsoplossingen te overwinnen. Bovendien, een tiental drivers kunnen worden uitgebuit om beveiligingsmechanismen te ondermijnen, inclusief randomisatie van de lay-out van de kerneladresruimte (KASLR), een cruciale verdedigingslaag.
Zeven chauffeurs, zoals Intel's stdcdrv64.sys, vormen een meer onheilspellende dreiging: ze maken het wissen van firmware in het SPI-flashgeheugen mogelijk, waardoor het hele systeem niet meer kan opstarten. Intel heeft onmiddellijk gereageerd door een oplossing uit te brengen om dit kritieke probleem aan te pakken.
Naast de directe kwetsbaarheden ligt er een geavanceerde techniek die bekend staat als Bring Your Own Vulnerable Driver (BYOVD). VMware heeft WDF-stuurprogramma's geïdentificeerd, zoals WDTKernel.sys en H2OFFT64.sys, die, terwijl het niet inherent kwetsbaar is in termen van toegangscontrole, kunnen worden bewapend door bevoorrechte dreigingsactoren. Deze tactiek is toegepast door beruchte groepen, inclusief de met Noord-Korea verbonden Lazarus Group, om verhoogde rechten te verkrijgen en beveiligingssoftware uit te schakelen, effectief detectie te omzeilen.
“Het huidige bereik van de API's/instructies waarop het [IDAPython-script voor het automatiseren van statische code-analyse van x64-kwetsbare stuurprogramma's] is smal en alleen beperkt tot firmwaretoegang,” waarschuwt Haruyama. Echter, de kneedbaarheid van deze techniek maakt het gemakkelijk om de code uit te breiden om andere aanvalsvectoren te dekken, zoals het beëindigen van willekeurige processen.
Conclusie
Naarmate het digitale landschap steeds complexer wordt, De ontdekking van deze kwetsbare factoren onderstreept het voortdurende kat-en-muisspel tussen cybersecurity-experts en dreigingsactoren. Tijdige patches, verhoogde alertheid, en een proactieve benadering van systeembeveiliging zijn essentieel om potentiële bedreigingen te dwarsbomen. Het is aan de sector om samen te werken, innoveren, en blijf een stap voor in de voortdurende strijd voor een veilige digitale toekomst.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: