时间:2019-08-12 来源:系统堂 游览量: 次
网络安全公司Eclipsisim的研究人员透露,来自20个微软认证的硬件供应商的40个不同的驱动程序包含较差的代码,这些代码可能被用来升级特权攻击。
在今年拉斯维加斯的DEF CON会议上,Eclipsisim发布了受影响的主要BIOS供应商和硬件制造商名单,包括华硕、华为、英特尔、NVIDIA和东芝。
驱动程序影响所有版本的Windows,这意味着数百万人处于危险之中。驱动程序可能允许恶意应用程序在用户级获得内核特权,从而获得对固件和硬件的直接访问。
恶意软件可以直接安装到固件中,所以重新安装操作系统甚至不是解决方案。
所有这些漏洞允许驱动程序充当代理,以执行对硬件资源的高度特权访问,例如对处理器和芯片组I/O空间的读写访问、模型特定寄存器(MSR)、控制寄存器(CR)、调试寄存器(DR)、物理存储器和内核虚拟存储器。这是特权升级,因为它可以将攻击者从用户模式(环3)移动到OS内核模式(环0)。保护环的概念概括在下面的图像中,其中每个内环被授予越来越多的特权。重要的是要注意,即使管理员与其他用户一起运行在环3(并且没有更深)。对内核的访问不仅可以给攻击者提供对操作系统可用的最特权访问,还可以授予对具有更高特权的硬件和固件接口的访问,例如系统BIOS固件。 |
驱动程序不仅提供必要的特权,而且提供改变的机制。 |
In a statement to ZDNet, Mickey Shkatov, Principal Researcher at Eclypsium mentioned:
微软将使用其HVCI(Hyvistor强制代码完整性)的能力黑名单司机报告给他们。 |
为了利用易受攻击的驱动程序,攻击者将需要已经危及计算机。 |
(Windows)防御器应用程序控制来阻止未知的易受攻击的软件和驱动程序。 客户可以通过在Windows安全性中启用有能力设备的内存完整性来进一步保护自己 |