研究人员从20家厂商的40多款内核驱动中找到多个漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Eclypsium 公司的研究人员在 DEF CON 27 安全会议上公布了从20个不同硬件厂商生产的40多个内核驱动中找到的常见设计缺陷。

这些常见的设计缺陷是指低权限应用程序能够使用合法的驱动函数在 Windows 操作系统的敏感区域如 Windows 内核中执行恶意动作。

Eclypsium 公司的首席研究员 Mickey Shkatov 表示，“有很多在正常情况下只能由权限软件如 Windows 内核访问且需要免受用户空间应用程序恶意读/写的很多硬件资源。”

他表示，“当签名驱动在无需微软限制或检查的情况下，提供可被用户空间应用程序执行对这些敏感资源的任意读/写权限时，就会产生设计缺陷。”

Shkatov 认为这些问题在于糟糕的编程行为，它并未将安全因素考虑在内。他表示，“这是一种常见的软件设计反模式，它没有使驱动仅执行特定任务，而是以一种灵活的写入方式仅代表用户空间执行任意动作。以这种方式构建驱动和应用程序的方式开发软件更容易。”

Shkatov 表示，自己所在的公司已将问题告知驱动可使用户空间应用运行核心代码的硬件厂商。发布更新的厂商名单如下：

● American Megatrends International (AMI)

● ASRock

● ASUSTeK Computer

● ATI Technologies (AMD)

● Biostar

● EVGA

● Getac

● GIGABYTE

●华为

● Insyde

● Intel

● Micro-Star International (MSI)

● NVIDIA

● Phoenix Technologies

● Realtek Semiconductor

● SuperMicro

●东芝

Shkatov 表示，“某些厂商如英特尔和华为已经发布更新，一些独立 BIOS 厂商如 Phoenix 和 Insyde 公司正在向消费者原始设备制造商发布更新。”他表示并未发布所有受影响的厂商名单，原因是某些厂商“需要额外时间应对特殊的情况”，将在未来发布修复方案和安全通告。

他表示计划会后在GitHub 上发布受影响驱动，以便用户和管理员拦截受影响的驱动。另外，Shaktov 表示微软将使用 HVCI 能力将收到报告的驱动黑名单化。

然而，Shaktov表示，HVCI 功能仅支持第7代及后续Intel CPU 版本。老旧系统以及无法启用的 HVCI 的更新的 Intel CPU 将需要手动干涉。

微软发表声明称，“要利用易受攻击的驱动，攻击者需要已经攻陷一台计算机。为缓解这类问题，微软推荐消费者使用 Windows Defender Application Control 来拦截已知的易受攻击的软件和驱动。消费者可通过在 Windows Security中的设备进行内存完整性检查来进一步保护自己。微软和行业合作伙伴紧密合作，解决私下披露的漏洞并共同帮助保护消费者的安全。”

原文链接

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”