“研究人员发现20家供应商的40个内核驱动程序存在安全漏洞”

在今天于拉斯维加斯召开的def con 27安全会议上，eclypsium的安全研究人员谈到了在来自20个不同硬件供应商的40多个内核驱动程序中发现的常见设计缺陷。

典型的设计缺陷是，低权限APP可以使用合法的驱动程序功能在windows操作系统(如windows内核)的最敏感区域执行恶意操作。

许多硬件资源通常只能通过特权软件(如windows内核)访问。 此外，还必须保护客户空之间的APP免受恶意读写的侵害。 eclypsium首席执行官mickey shkatov在以前的电子邮件中说:

如果签名驱动程序提供的功能被客户空之间的APP利用，并且可以在不限制或未通过微软检查的情况下读取/写入这些敏感资源，则设计缺陷的表面补充如下:

shkatov谴责了他在糟糕的编码实践中发现的问题，这些问题没有考虑到安全性。

这是一种典型的软件设计逆向模式，它以灵活的方式描述客户端空之间执行任意操作，而不是只让驱动程序执行特定的任务，并传达给zdnet。

虽然像这样构建驱动程序和APP系统开发软件很容易，但是打开系统加以利用。

受影响的供应商

shkatov表示，他的公司通知了各硬件供应商，他们提供的驱动程序允许客户空之间的APP执行内核代码。 更新后的供应商如下所示。

●美国大趋势国际( ami ) ) ) ) )。

●华发动机

●美国计算机

●ATI技术( amd ) )。

●映泰

●evga

●getac

●技嘉

●华为

●同步

●英特尔

●微星国际( msi )

●nvidia

●phoenix技术公司

●realtek半导体

●超微型计算机

●东芝

一些供应商(如英特尔和华为)宣布更新。 像凤凰和insyde这样的ibv [独立bios供应商]向顾客oem发布了他们的更新。 shkatov告诉了zdnet。

据报道，eclypsium研究员称，他没有透露所有受影响的供应商的名字。 因为特殊情况可能需要追加时间，所以计划发表将来的修复和提案。

据eclypsium的研究人员称，他计划在演讲结束后将受影响的驱动程序及其散列表发布到github上，以帮助客户和管理员屏蔽受影响的驱动程序。

此外，shaktov表示，微软将采用hvci (虚拟机管理程序强制执行的代码互补性)功能，并将报告的驱动程序列入黑名单。

但是，shaktov表示hvci功能只支持第7代英特尔CPU或更高版本。 旧系统必须手动干预无法启用hvci的新intel cpu。

为了使用容易受到攻击的驱动器，攻击者必须已经破坏了计算机。 微软在一份声明中说。 为了解决这些问题，微软建议客户使用windows Defender应用程序控制程序来阻止已知的易受攻击软件和驱动程序。 客户可以通过为windows security中的强大设备启用内存完整性来进一步保护自己。 微软与域合作伙伴合作，私下公开漏洞，协助保护客户。

本文：《“研究人员发现20家供应商的40个内核驱动程序存在安全漏洞”》