Pesquisadores da VMware Carbon Black descobriram uma revelação preocupante: 34 Modelo exclusivo de driver do Windows (WDM) e estruturas de driver do Windows (WDF) os drivers são suscetíveis à exploração por atores de ameaças não privilegiados. As repercussões são terríveis, permitindo que entidades malévolas assumam o controle total dos dispositivos e executem códigos arbitrários nos sistemas subjacentes.
Takahiro Haruyama, pesquisador sênior de ameaças da VMware Carbon Black, esclarece a gravidade da situação. “Explorando os drivers, um invasor sem privilégios pode apagar/alterar firmware e/ou elevar [sistema operacional] privilégios,” ele avisa, sublinhando o potencial de danos substanciais.
Esta pesquisa baseia-se em estudos anteriores como ScrewedDrivers e POPKORN, que empregou execução simbólica para automatizar a descoberta de drivers vulneráveis. O foco aqui está em drivers que possuem acesso de firmware através de E/S de porta e E/S mapeada em memória., ampliando o escopo da exploração.
CVE-2023-20598: Identificando os culpados
A lista de drivers vulneráveis parece uma lista de observação de segurança cibernética. Algumas das entradas dignas de nota incluem AODDriver.sys, ComputadorZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, e TdkLib64.sys (CVE-2023-35841). Esses motoristas, uma vez comprometido, abrir o gateway para acesso não autorizado e manipulação de componentes críticos do sistema.
As implicações dessas vulnerabilidades, incluindo CVE-2023-20598, são profundos. Seis dos 34 drivers concedem acesso à memória do kernel, fornecendo um caminho para os invasores elevarem privilégios e superarem soluções de segurança. além do que, além do mais, uma dúzia de drivers podem ser explorados para subverter mecanismos de segurança, incluindo randomização de layout de espaço de endereço do kernel (KASLR), uma camada de defesa crucial.
Sete pilotos, como stdcdrv64.sys da Intel, apresentam uma ameaça mais sinistra – eles permitem o apagamento do firmware na memória flash SPI, tornando todo o sistema não inicializável. Intel respondeu prontamente emitindo uma correção para resolver esse problema crítico.
Além das vulnerabilidades imediatas, existe uma técnica sofisticada conhecida como Traga seu próprio driver vulnerável (Traga sua própria vida). VMware identificou drivers WDF, como WDTKernel.sys e H2OFFT64.sys, qual, embora não seja inerentemente vulnerável em termos de controle de acesso, pode ser usado como arma por atores de ameaças privilegiados. Esta tática tem sido empregada por grupos notórios, incluindo o Grupo Lazarus, ligado à Coreia do Norte, para obter privilégios elevados e desativar software de segurança, evitando efetivamente a detecção.
“O escopo atual das APIs/instruções visadas pelo [Script IDAPython para automatizar a análise de código estático de drivers vulneráveis x64] é estreito e limitado apenas ao acesso ao firmware,” avisa Haruyama. Contudo, a maleabilidade desta técnica facilita a extensão do código para cobrir outros vetores de ataque, como encerrar processos arbitrários.
Conclusão
À medida que o cenário digital se torna cada vez mais complexo, a descoberta desses drivers vulneráveis ressalta o perpétuo jogo de gato e rato entre especialistas em segurança cibernética e atores de ameaças. Patches oportunos, consciência aumentada, e uma abordagem proativa à segurança do sistema são essenciais para impedir ameaças potenciais. A responsabilidade recai sobre a indústria para colaborar, inovar, e fique um passo à frente na batalha contínua por um futuro digital seguro.