34 небезпечні драйвери які можуть захопити Windows

Реклама

ЗАРАЗ ЧИТАЮТЬ

Час читання: < 1 хв.

До 34 унікальних вразливих драйверів моделі драйверів Windows ( WDM ) та інфраструктури драйверів Windows ( WDF ) можуть бути використані непривілейованими зловмисниками для отримання повного контролю над пристроями та виконання довільного коду в базових системах.

Використовуючи драйвери, зловмисник без привілеїв може стерти/змінити прошивку та/або підвищити привілеї [операційної системи]

Дослідження розширює попередні дослідження, такі як ScrewedDrivers та POPKORN, у яких символічне виконання використовувалося для автоматизації виявлення вразливих драйверів. У ньому особлива увага приділяється драйверам, які забезпечують доступ до вбудованого ПЗ через порт вводу-виводу та введення-виведення, що відображається в пам’яті.

Реклама

Імена деяких вразливих драйверів:

  1. AODDriver.sys
  2. ComputerZ.sys
  3. dellbios.sys
  4. GEDevDrv.sys
  5. GtcKmdfBs.sys
  6. IoAccess.sys
  7. kerneld.amd64
  8. ngiodriver.sys
  9. nvolock.sys
  10. PDFWKRNL.sys (CVE) . -2023-20598),
  11. RadHwMgr.sys
  12. rtif.sys
  13. rtport.sys
  14. stdcdrv64.sys
  15. TdkLib64.sys (CVE-2023-35841).

З 34 драйверів шість дозволяють доступ до пам’яті ядра, яким можна зловживати для підвищення привілеїв та обходу рішень безпеки. Дванадцять драйверів можуть бути використані для порушення механізмів безпеки, таких як рандомізація структури адресного простору ядра (KASLR).

Сім драйверів, включаючи stdcdrv64.sys від Intel, можна використовувати для стирання прошивки у флеш-пам’яті SPI, що робить систему неможливою для завантаження. З того часу Intel випустила виправлення цієї проблеми.

VMware заявила, що також виявила драйвери WDF, такі як WDTKernel.sys та H2OFFT64.sys, які не вразливі з точки зору контролю доступу, але можуть бути легко використані привілейованими зловмисниками як зброя для здійснення так званої атаки «Принеси свій власний вразливий драйвер» (BYOVD)

Реклама

Вас також можуть зацікавити новини:

Не пропустіть

СВІЖІ НОВИНИ