До 34 унікальних вразливих драйверів моделі драйверів Windows ( WDM ) та інфраструктури драйверів Windows ( WDF ) можуть бути використані непривілейованими зловмисниками для отримання повного контролю над пристроями та виконання довільного коду в базових системах.
Використовуючи драйвери, зловмисник без привілеїв може стерти/змінити прошивку та/або підвищити привілеї [операційної системи]
Дослідження розширює попередні дослідження, такі як ScrewedDrivers та POPKORN, у яких символічне виконання використовувалося для автоматизації виявлення вразливих драйверів. У ньому особлива увага приділяється драйверам, які забезпечують доступ до вбудованого ПЗ через порт вводу-виводу та введення-виведення, що відображається в пам’яті.
Імена деяких вразливих драйверів:
- AODDriver.sys
- ComputerZ.sys
- dellbios.sys
- GEDevDrv.sys
- GtcKmdfBs.sys
- IoAccess.sys
- kerneld.amd64
- ngiodriver.sys
- nvolock.sys
- PDFWKRNL.sys (CVE) . -2023-20598),
- RadHwMgr.sys
- rtif.sys
- rtport.sys
- stdcdrv64.sys
- TdkLib64.sys (CVE-2023-35841).
З 34 драйверів шість дозволяють доступ до пам’яті ядра, яким можна зловживати для підвищення привілеїв та обходу рішень безпеки. Дванадцять драйверів можуть бути використані для порушення механізмів безпеки, таких як рандомізація структури адресного простору ядра (KASLR).
Сім драйверів, включаючи stdcdrv64.sys від Intel, можна використовувати для стирання прошивки у флеш-пам’яті SPI, що робить систему неможливою для завантаження. З того часу Intel випустила виправлення цієї проблеми.
VMware заявила, що також виявила драйвери WDF, такі як WDTKernel.sys та H2OFFT64.sys, які не вразливі з точки зору контролю доступу, але можуть бути легко використані привілейованими зловмисниками як зброя для здійснення так званої атаки «Принеси свій власний вразливий драйвер» (BYOVD)
