34 個(gè)問題驅(qū)動(dòng)被發(fā)現(xiàn)，概念驗(yàn)證確認(rèn)被黑客利用可掌握 Win11 系統(tǒng)

IT之家 11 月 7 日消息，VMware 旗下威脅分析部門（TAU）近日發(fā)現(xiàn)了 34 個(gè)存在安全隱患的 Windows 驅(qū)動(dòng)程序，其中涉及 237 個(gè)文件，其哈希值部分屬于舊設(shè)備。

其中很多驅(qū)動(dòng)程序的安全證書處于“已吊銷”或者“已過期”狀態(tài)，但是各行各業(yè)依然有不少企業(yè)使用包含這些驅(qū)動(dòng)的舊設(shè)備。

TAU 通過靜態(tài)分析自動(dòng)化腳本發(fā)現(xiàn)了這些問題驅(qū)動(dòng)，其中 30 個(gè)為具有固件訪問權(quán)限的 WDM，此外還有 4 個(gè) WDF 驅(qū)動(dòng)，可以讓非管理員用戶完全控制設(shè)備。

目前 Win11 系統(tǒng)默認(rèn)通過 Hypervisor-Protected Code Integrity（HVCI）來阻止加載問題驅(qū)動(dòng)程序，但 TAU 團(tuán)隊(duì)發(fā)現(xiàn)除了 5 個(gè)之外，其它問題驅(qū)動(dòng)都可以正常加載。

TAU 團(tuán)隊(duì)表示，攻擊者可以利用這些問題驅(qū)動(dòng)程序，即便沒有系統(tǒng)權(quán)限也可以擦除或更改機(jī)器的固件，提升訪問權(quán)限，禁用安全功能，安裝防病毒的 bootkit 等。

安全機(jī)構(gòu)目前對問題驅(qū)動(dòng)程序的研究主要集中在較舊的 WDM 模型上，不過 VMware 分析師目前檢測到較新的 WDF 驅(qū)動(dòng)程序同樣也存在問題。

研究人員隨后成功利用該漏洞技進(jìn)行驗(yàn)證，團(tuán)隊(duì)在支持 HVCI 的 Win11 操作系統(tǒng)上，制作了 AMD 驅(qū)動(dòng)程序的概念驗(yàn)證（PoC）驅(qū)動(dòng)，可以運(yùn)行具有“系統(tǒng)完整性級別”的命令提示符（cmd.exe）。

團(tuán)隊(duì)開發(fā)的另一個(gè) PoC 驅(qū)動(dòng)，成功在英特爾 Apollo SoC 平臺上，實(shí)現(xiàn)擦除固件功能。

雖然研究人員已經(jīng)報(bào)告了很多易受攻擊的驅(qū)動(dòng)，但 TAU 表示，他們的新分析方法足以找到仍然具有有效簽名的新問題驅(qū)動(dòng)。

微軟目前嘗試通過“禁止列表”方式解決問題驅(qū)動(dòng)，而且 TAU 也嘗試提出更全面、更妥善的保護(hù)方案。

IT之家在此附上報(bào)告原文鏈接，感興趣的用戶可以深入閱讀。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。