Awesome

A 站

超过40个驱动,Windows PC会被Hacker安装持久后门

如果您拥有由华硕,东芝,英特尔,NVIDIA,华为或下面列出的其他15家供应商制造的设备或硬件组件,您可能会被恶意攻击。

《超过40个驱动,Windows PC会被Hacker安装持久后门》
驱动存在bug

一组安全研究人员发现,来自至少20个不同供应商的40多个驱动程序中存在高风险安全漏洞,这些驱动程序可能允许攻击者获得系统上的最高权限,并以一种未被发现的方式隐藏恶意软件,有时长达多年。

对于复杂的攻击者而言,在破坏系统后维持持久性是最重要的任务之一,为实现这一目标,现有的硬件漏洞有时会发挥重要作用。

类似这样的组件有一个是设备驱动器,通常称为驱动器或硬件驱动器,控制特定类型的硬件设备的软件程序,帮助其正确地与计算机的操作系统通信。

由于设备驱动程序位于硬件和操作系统本身之间,并且在大多数情况下具有对OS内核的特权访问,因此该组件中的安全漏洞可能导致内核层的恶意代码执行。

此权限还可以升级攻击,即将攻击者从用户模式(Ring 3)移动到OS内核模式(Ring 0),如图所示,允许他们在系统中安装用户可能永远不会意识到的持久后门。

《超过40个驱动,Windows PC会被Hacker安装持久后门》
OS内核Rings

由固件和硬件安全公司Eclypsium的研究人员发现,一些新的漏洞可能允许任意读/写内核内存,例如,模型专用寄存器(MSR),控制寄存器(CR),调试寄存器(DR)和物理内存。

“所有这些漏洞都允许驱动程序充当代理,以执行对硬件资源的高权限访问,这可能允许攻击者将用于管理系统的工具转变为强大的威胁,可以升级权限并在主机上无形地持续存在, “研究人员在他们的报告中解释了’螺旋式驱动器’。

“访问内核不仅可以为攻击者提供操作系统可用的最高权限访问权限,还可以授予对具有更高权限(如系统BIOS固件)的硬件和固件接口的访问权限。”

由于在用户空间中运行的恶意软件可以简单地扫描受害计算机上的易受攻击的驱动程序以对其进行攻击,因此攻击者无需安装自己的易受攻击的驱动程序,否则需要系统管理员权限进行安装。

研究人员发现的所有易受攻击的驱动程序(如下所列)均已获得Microsoft的认证。

  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

该名单还包括三家研究人员尚未提及的硬件供应商,因为他们“仍处于禁运状态,因为他们在高度监管的环境中工作,并且需要更长时间才能获得认证并准备好部署给客户。”

“一些易受攻击的驱动程序与显卡,网络适配器,硬盘驱动器和其他设备进行交互,”研究人员解释道。 “这些设备中的持久性恶意软件可以读取,写入或重定向通过网络存储,显示或发送的数据。同样,任何组件都可能作为DoS或勒索软件攻击的一部分被禁用。”

设备驱动程序漏洞可能比其他应用程序漏洞更危险,因为它允许攻击者访问位于操作系统下方的“负面”固件环并保持设备上的持久性,即使操作系统已完全重新安装,就像在案例( LoJax恶意软件)中一样。

研究人员向受影响的供应商报告了这些漏洞,其中包括英特尔和华为在内的一些厂商已经发布了补丁更新并发布了安全建议。 除此之外,研究人员还承诺很快将在GitHub上发布一个脚本,帮助用户找到安装在他们系统上的虫洞驱动程序,以及概念验证代码,视频演示以及易受攻击的驱动程序和工具的链接。

打赏 赞(0)
微信
支付宝
微信二维码图片

微信扫描二维码打赏

支付宝二维码图片

支付宝扫描二维码打赏

本站文章未说明转载即为原创,转载请注明来源,LemonSaaS-A » 超过40个驱动,Windows PC会被Hacker安装持久后门,并请保留声明!
点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注