Драйверы AMD, Intel и Nvidia и многих других оказались уязвимы для атак

На конференции DEF CON 27 в Лас-Вегасе (штат Невада), эксперты безопасности фирмы Eclypsium сообщили о конструкционных недоработках, которые были обнаружены в более, чем 40 драйверов ядра от двух десятков различных производителей оборудования. Уязвимость позволяет вредоносному ПО повысить уровень привилегий, вплоть до неограниченного доступа к оборудованию.

«Существует множество аппаратных ресурсов, которые обычно доступны только с помощью привилегированного ПО, такого как ядро ​​Windows, и должны быть защищены от вредоносного чтения/записи из приложений пользовательского пространства», — заявил электронном письме Микки Шкатов (Mickey Shkatov), главный исследователь Eclypsium.

По его словам, истоки этих проблем кроются в порочных практиках программирования: вместо того, чтобы заставлять драйвер выполнять только определенные задачи, его делают гибким, способным выполнять произвольные действия от имени пользовательского пространства. Структурирование приложений и драйверов таким образом, упрощает разработку ПО, но открывает системы для злонамеренного использования.

В отчете компании упоминаются программные продукты десятков производителей. Длинный список поставщиков драйверов, которые полностью одобрены подразделением Microsoft Windows Quality Lab, включает в себя такие крупные компании, как Intel, AMD, Nvidia, AMI, Phoenix, ASUS, Huawei, Toshiba, SuperMicro, Gigabyte, MSI, EVGA и др. Суть обнаруженной уязвимости сводится к тому, что программы с низким уровнем прав могут применять легитимные функции драйвера для получения доступа к ядру системы и аппаратным компонентам. Другими словами, вредоносное ПО, работающее в пользовательском пространстве, способно провести сканирование уязвимого драйвера на целевой машине, а затем использовать его для получения контроля над системой. Однако если уязвимого драйвера еще нет в системе, то для его установки потребуются права администратора.

В рамках исследования специалисты Cybersecurity Eclypsium обнаружили три способа повышения привилегий с использованием драйверов устройств. Подробности использования уязвимого места драйверов раскрыты не были, но представители компании сообщили, что в настоящее время ведется разработка программного решения, которое позволит устранить ошибку. Разработчики драйверов, чьи продукты затрагивает обнаруженная уязвимость, уведомлены о проблеме.

К настоящему времени защитные обновления уже выпустили American Megatrends International (AMI), ASRock, ASUSTeK Computer, ATI Technologies (AMD), Biostar, EVGA, Getac, GIGABYTE, Huawei, Insyde, Intel, Micro-Star International (MSI), NVIDIA, Phoenix Technologies, Realtek Semiconductor, SuperMicro, Toshiba. В этом списке отсутствует ряд вендоров, которым по разным причинам потребовалось дополнительное время для принятия мер.

Исследователь из Eclypsium также пообещал опубликовать перечень уязвимых драйверов и их хэш-коды на GitHub, чтобы пользователи и администраторы смогли блокировать их применение.

Компания Microsoft будет использовать функцию HVCI (Hypervisor-enforced Code Integrity) для внесения этих драйверов в «чёрный список», однако HVCI поддерживается только процессорами Intel, начиная с 7-го поколения.

«Чтобы использовать уязвимые драйверы, злоумышленник должен предварительно взломать компьютер, — говорится в заявлении Microsoft. — Чтобы помочь устранить этот класс проблем, Microsoft рекомендует клиентам использовать Windows Defender Application Control для блокирования известных уязвимых программ и драйверов. Клиенты могут дополнительно защитить себя, активировав в Windows Security целостность памяти для совместимых устройств».