Информатор Tech

Новости

Драйверы большинства производителей оборудования содержат уязвимости

Сотрудники исследовательской компании Eclypsium подготовили отчет под названием Screwed Drivers. Сама фирма специализируется на опросах информационной безопасности.

Из отчета стало известно, что в модели драйверов более 40 производителей оборудования есть уязвимость, которая позволит вредоносному программному обеспечению получить повышенные привилегии — это обеспечивает неограниченный доступ к оборудованию. Об этом сообщает Информатор Tech.

В список производителей оборудования, которые выпускают драйверы, одобренные и подписанные корпорацией Microsoft в рамках своей программы WHQL, входят крупные бренды: Intel, AMD, NVIDIA, AMI, Phoenix, ASUS, Toshiba, SuperMicro, GIGABYTE, MSI и EVGA. Многие из них занимаются производством материнских плат, которые разрабатывают приложения для мониторинга оборудования и разгона системы. Для такого программного обеспечения устанавливаются драйверы режима ядра в Windows аппаратного доступа для Ring-0, уровня с наибольшими привилегиями.

Класс атаки RWEverything

Класс атаки RWEverything

В Eclypsium в рамках исследования сообщили о 3 классах атак, связанных с повышением привилегий:

  • RWEverything
  • LoJax (первое вредоносное ПО для UEFI)
  • SlingShot

В основе этих атак лежит эксплуатация способа, которым Windows продолжает работать с драйверами, подписанные с использованием поврежденных, устаревших или просроченных сертификатов.

Класс атаки LoJax

Класс атаки LoJax

RWEverything — утилита для доступа ко всем аппаратным интерфейсам через программное обеспечение. Она работает в пользовательском пространстве, однако с одноразово установленным и подписанным драйвером режима ядра RWDrv.sys действует как проводник для вредоносных программ, чтобы получить доступ Ring-0 в системе.

LoJax — это инструмент для внедрения, который использует RWDrv.sys для получения доступа к контроллеру флэш-памяти SPI в чипсете материнской платы, чтобы модифицировать флэш-память UEFI BIOS.

Класс атаки SlingShot

Класс атаки SlingShot

Slingshot — APT со своим собственным вредоносным драйвером. Он использует другие драйверы с MSR для чтения/записи, чтобы обойти принудительное применение подписи драйверов для установки руткита (программа или набор программ, который позволяет замаскировать присутствие в системе вредоносного программного обеспечения).

Компания пока не делится информацией об этих уязвимостях. При этом, она активно сотрудничает с некоторыми из перечисленных производителей оборудования, чтобы устранить проблему.

Ранее сообщалось, что хакер научился взламывать компьютеры Apple при помощи Lightning. Помимо этого, основатель Huawei хочет создать «Непобедимую железную армию» для борьбы с США.

Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале и на Facebook.

Сергей Сурепин

загрузка...
Наверх