安全厂商eclypsium上周在黑客技术年会black hat usa上公布研究,20多家硬件厂商的40多款驱动程序有权限升级漏洞,可能导致攻击者在windows核心执行恶意程序。英特尔、nvidia和多家台湾硬件厂商上榜,不过他们也都完成并发布修补程序。
操作系统核心为和硬件通信,需要以核心模式的驱动程序作为中介,在windows环境下,是使用核心模式驱动程序框架(kernel mode driver framework,kmdf)。这些驱动程序可以控制windows计算机大大小小的动作,小至cpu风扇转速、主板led灯的颜色、大至bios更新、刷机等。驱动程序也拥有较一般用户更高权限,也能在更底层作业而不受操作系统管辖。
为了防止攻击者滥用此类权限,微软也设计了多种机制,像是whql(windows hardware quality lab)认证、程序签章、延伸验证(extended validation,ev)程序代码签章等,来防止非法、恶意驱动程序加载windows核心。
但研究人员发现,多款经签章的驱动程序存在安全漏洞,可被当作代理服务器以便读写重要的硬件资源,像是核心内存、内部cpu组态托管器(registers)、pci接口设备等等,使这些合法驱动程序反而被攻击者用来绕过甚至关闭windows安全机制,进而执行任意程序代码。
eclypsium首席研究分析师mickey shkatov指出,这些漏洞其实是出在驱动程序编写实务上未考量安全性所致。程序人员并未限制驱动程序可执行的任务类别,而是为了应用开发的方便而设计得很弹性,让用户空间(userspace)中的低权限app,得以在windows核心执行程序代码。所有近代的windows操作系统都受到此漏洞影响。
研究人员发现,有20多家硬件厂商、超过40款驱动程序存在上述漏洞,经过安全厂商通报已完成修补者包括,华硕(asustek)、ati、技嘉(gigabyte)、华为、英特尔、微星(msi)、nvidia、phoenix、瑞昱(realtek)、超微(supermicro)、东芝、ami、华擎(asrock)、映泰(biostar)、艾微克(evga)、神基(getac)、系微(insyde)等,他们有的是直接发布给终端用户,有的则是发布给oem客户。但仍然有部分厂商需要更多时间才能完成修补。
研究人员计划之后要把受影响的驱动程序完整名单,公布在github上。