Ataki złośliwego oprogramowania wpływające na komputery z systemem Windows za pomocą wadliwych sterowników

Badacze bezpieczeństwa odkryli nowe luki w ponad 40 sterownikach certyfikowanych przez Microsoft.

Problem tkwi w kodzie sterownika, który umożliwia komunikację między jądrem systemu operacyjnego a sprzętem, zapewniając wyższy poziom uprawnień niż zwykły użytkownik lub administrator.

Luki w sterownikach mogą mieć wpływ na miliony

Lista producentów sprzętu, których to dotyczy, obejmuje ogromne firmy, takie jak Intel, Nvidia, Huawei, Toshiba i Asus. Oto jak zespół ds. cyberbezpieczeństwa w Eclypsium, który znalazł luki,

Opisz ich:

Wszystkie te luki pozwalają sterownikowi działać jako serwer proxy w celu uzyskania wysoce uprzywilejowanego dostępu do zasobów sprzętowych, takich jak dostęp do odczytu i zapisu do przestrzeni we/wy procesora i chipsetu, rejestrów specyficznych dla modelu (MSR), rejestrów kontrolnych (CR), rejestrów debugowania (DR), pamięci fizycznej i wirtualnego jądra pamięć. Jest to eskalacja uprawnień, ponieważ może przenieść atakującego z trybu użytkownika (pierścień 3) do trybu jądra systemu operacyjnego (pierścień 0). Koncepcję pierścieni ochronnych podsumowano na poniższym obrazku, gdzie każdy pierścień wewnętrzny otrzymuje coraz więcej przywilejów. Należy zauważyć, że nawet Administratorzy działają przy pierścieniu 3 (i nie głębiej) wraz z innymi użytkownikami. Dostęp do jądra może nie tylko zapewnić atakującemu najbardziej uprzywilejowany dostęp do systemu operacyjnego, ale może również przyznać dostęp do interfejsów sprzętowych i oprogramowania układowego z jeszcze wyższymi uprawnieniami, takimi jak system BIOS oprogramowanie układowe.

Oznacza to, że wadliwe sterowniki mogą umożliwić złośliwym aplikacjom uzyskanie uprawnień jądra, wpływając bezpośrednio na oprogramowanie układowe i sprzęt. Co więcej, ponowna instalacja systemu operacyjnego nie rozwiąże problemu.

Tak jest w przypadku BIOS i oprogramowanie układowe UEFI, którego raz dotknięty problem nie może zostać naprawiony przez ponowną instalację systemu operacyjnego.

Dotyczy to wszystkich wersji systemu Windows

Warto wspomnieć, że problem dotyczył ponad 40 sterowników, a problem dotyczy wszystkich wersji systemu Windows, a nie tylko systemu Windows 10.

Microsoft zdecydowanie doradza swoim klientom, aby używali Kontroli aplikacji Windows Defender do blokowania nieznanego oprogramowania i włączania integralności pamięci dla odpowiednich urządzeń w Bezpieczeństwo systemu Windows.

Tutaj jest pełna lista dostawców, których dotyczy problem:

• ASRock
• Komputer ASUSTeK
• Technologie ATI (AMD)
• Biostar
• EVGA
• Getac
• GIGABYT
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Technologie Phoenix
• Półprzewodnik Realtek
• SuperMikro
• Toshiba

Niektóre z nich wdrożyły już poprawki, ale na inne nadal obowiązuje embargo.

Aby zapewnić bezpieczeństwo systemu, należy regularnie skanować w poszukiwaniu nieaktualnych sterowników i instalować najnowsze poprawki sterowników od wyżej wymienionych producentów.

Aby Ci pomóc, przygotowaliśmy przewodnik jak zaktualizować nieaktualne sterowniki, więc koniecznie sprawdź to.

PRZECZYTAJ TAKŻE:

• Jak: zaktualizować sterownik graficzny w systemie Windows 10
• 9 najlepszych programów antywirusowych z szyfrowaniem do zabezpieczania danych
• Microsoft Defender ATP to nowa międzyplatformowa oferta zabezpieczeń firmy Microsoft