聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
团队高级威胁研究员 Takahiro Haruyama 指出,“没有权限的攻击者可利用这些驱动,擦除/修改固件以及/或提升操作系统权限。”
该研究是对之前研究工作的扩展延伸,如 CrewdDrivers 和 POPKORN 利用符号执行方式来自动化发现易受攻击的驱动。这项研究主要专注于通过端口 I/O 和内存映射 I/O 来限制固件访问权限。
这些易受攻击的驱动的名称包括 AODDriver.sys、ComputerZ.sys、dellbios.sys、GEDevDrv.sys、GtcKmdfBs.sys、IoAccess.sys、kernel.amd64、ngiodriver.sys、novclock.sys、PDFWKRNL.sys (CVE-2023-20598)、RadHwMgr.sys、rtif.sys、rtport.sys、stdcdrv64.sys 和 TdkLib64.sys (CVE-2023-35841)。
在这34个驱动中,6个可允许内核内存访问权限被滥用于提权并破坏安全解决方案,12个驱动可被用于绕开安全机制如内核地址空间布局随机化,7个驱动(包括英特尔的 stdcdrv64.sys)可被用于擦除 SPI 闪存中的固件,导致系统不可遭启动。英特尔之后发布修复方案。
VMware 公司表示,还发现了一些 WDF 驱动如 WDTKernel.sys和 H2OFFT64.sys 不受访问控制漏洞影响,但可被权限攻击者触发 BYOVD 攻击。这一攻击技术遭多个威胁组织利用,包括与朝鲜关联的 Lazarus 组织等,目的是提升权限并禁用受陷端点上运行的安全软件以躲避检测。
Haruyama 表示,“对64位易受攻击驱动的自动化静态代码分析的 IDAPython 脚本所针对的当前的 APIs/指令范围较窄,仅影响固件访问权限。然而,代码非常容易被扩展为涵盖其它攻击向量。”
N-Able Take Control Agent 高危漏洞可用于 Windows 系统提权
Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业
https://thehackernews.com/2023/11/researchers-find-34-windows-drivers.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~