Ranjivi driveri od preko 40 proizvođača, uključujući Intel, Nvidiju i AMD

Tvrtka Eclypsium, specijalizirani za računalnu sigurnost, nedavno je objavila izvješće „Screwed Drivers“, gdje su detaljizirali zadnje pronađenu kritičnu ranjivost dizajna modernih drivera za preko 40 proizvođača hardvera, koja omogućuje pristup s Ringa 3 na ring = (neograničeni pristup hardveru računala). Lista proizvođača, čiji driveri su u potpunosti odobreni od strane Microsofta kroz WHQL program uključuju: Intel, NVIDIA, AMD, AMI, Phoenix, ASUS, Toshiba, SuperMicro, Gigabyte, MSI i EVGU od najpoznatijih. Jedan dio „krivice“ ne pripada nužno driverima u punom smislu te riječi nego softveru i aplikacijama koje se koriste za nadzor i overclocking, a kroz kernel drivere Windows OS-a omogućen im je Ring-0 pristup.

Kao primjer studije, Eclypsium je prezentirao tri klase „privilege-escalation“ napada koji zloupotrebljavaju drivere, RWEveything, LoJax (prvi UEFI malware) i SlingShot. U središtu ove tri zloupotrebe je način na koji Windowsi nastavljaju raditi s driverima čiji certifikati su istekli, u potpunosti su krivi ili zastarjeli. Eclypsium nije išao u detalje samih zlouporaba, ali je navedeno predstavio na DEF CON prezentaciji te u ovom trenutku rade s nekoliko proizvođača na sigurnosnim patchevima, kao i otklanjanju sigurnosnog rizika te su u ovom trenutku pod embargom oko izdavanja whitepapera. RWEverything su predstavili kao alat koji omogućuje kompletan pristup svim hardverskim sučeljima kroz software. Radi na razini klasičnog korisnika, no s jednokratnom instalacijom potpisanig kernel drivera RWDrv.sys omogućuje Malwareu neometan Ring-0 pristup. LoJax je implementacijski alat koji koristi RWDrv.sys kako bi dobio pristup SPI flash kontroleru chipseta matične ploče i omogućuje flashanje BIOSa iz OS-a bez znanja korisnika. Slingshot predstavlja svoj vlastiti driver koji koristi zaštite i dozvole drugih drivera te omogućuje instalaciju rootkita.

Za one koji žele znati više link na izvješće dostupan je ovdje.