Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Desiatky ovládačov pre Windows umožňujú ovládnuť systém

20.08.2019
Výskumníci spoločnosti Eclypsium študovali vyše 40 ovládačov od 20 spoločností. Objavili v nich zraniteľnosti vedúce ku zvýšeniu práv a k možnosti čítať a zapisovať do systémovej pamäte a registrov. Takto môžu útočníci vykonávať kód so systémovými právami, či zasahovať do firmvéru. Na zraniteľnom zariadení dokážu získať perzistenciu a kompletne ho ovládnuť.

 

Dôsledky

  • Vzdialené vykonávanie kódu
  • Prístup ku chráneným dátam
  • Prevzatie kontroly nad zraniteľným zariadením

Opis činnosti
Bezpečnostní výskumníci zo spoločnosti Eclypsium objavili závažné bezpečnostné nedostatky desiatok hardvérových ovládačov digitálne podpísaných veľkými technologickými firmami a súčasne spoločnosťou Microsoft. Výskumníci preskúmali a našli zraniteľnosti vo vyše 40 ovládačoch od 20 spoločností, vrátane Asus, ATI, Gigabyte, Huawei, Intel, nVidia a Realtek.

Dizajn týchto ovládačov poskytuje možnosť využiť ich pre eskaláciu privilégií a získanie prístupu k hardvérovým prostriedkom. Používateľ sa tak môže ľahko dostať do módu systémového jadra. Útočníci môžu následne ľubovoľne čítať a zapisovať do pamäte jadra, fyzickej pamäte a MSR (model specific registers), CR (control registers), DR (debug registers). Takto je možné vykonávať ľubovoľný kód v rámci jadra OS Windows, či upravovať firmvér (vrátane BIOS) za účelom získať perzistenciu v systéme.

Zraniteľnosti v ovládačoch ležia v spôsobe, akým je podobný softvér vyvíjaný. Namiesto obmedzenia funkcionality ovládača na špecifické úlohy je mu umožnené vykonávať ľubovoľné úlohy z používateľského priestoru. To umožňuje zvýšenie práv z úrovne procesora Ring 3 do Ring 0.

Spoločnosť Microsoft sa vyjadrila, že pred vykonaním útoku musí útočník získať prístup ku zraniteľnému zariadeniu. Zároveň je možné zmierniť dopad zraniteľností blokovaním zraniteľných ovládačov pomocou Windows Defender Application Control a zapnutím integrity pamäte vo Windows Security.

Zraniteľné systémy
Ovládače pre Microsoft Windows

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania

  • Aktualizácia zraniteľných ovládačov, ak je dostupná
  • Blokovanie zraniteľných ovládačov pomocou Windows Defender Application Control
  • Zapnutie integrity pamäte vo Windows Security

Odkazy
https://threatpost.com/driver-disaster-over-40-signed-drivers-cant-pass-security-muster/147199/
https://zive.aktuality.sk/clanok/141880/ovladace-20-vyrobcov-pre-windows-maju-slabiny-umoznuju-infikovanie-systemu/
https://www.securityweek.com/vulnerabilities-device-drivers-20-vendors-expose-pcs-persistent-malware
https://www.zdnet.com/article/researchers-find-security-flaws-in-40-kernel-drivers-from-20-vendors/
https://www.darkreading.com/vulnerabilities---threats/security-flaws-discovered-in-40-microsoft-certified-device-drivers--/d/d-id/1335501



<< zoznam oznámení