“研究人员发现20家供应商的40个内核驱动程序存在安全漏洞”
在今天于拉斯维加斯召开的def con 27安全会议上,eclypsium的安全研究人员谈到了在来自20个不同硬件供应商的40多个内核驱动程序中发现的常见设计缺陷。
典型的设计缺陷是,低权限APP可以使用合法的驱动程序功能在windows操作系统(如windows内核)的最敏感区域执行恶意操作。
许多硬件资源通常只能通过特权软件(如windows内核)访问。 此外,还必须保护客户空之间的APP免受恶意读写的侵害。 eclypsium首席执行官mickey shkatov在以前的电子邮件中说:
如果签名驱动程序提供的功能被客户空之间的APP利用,并且可以在不限制或未通过微软检查的情况下读取/写入这些敏感资源,则设计缺陷的表面补充如下:
shkatov谴责了他在糟糕的编码实践中发现的问题,这些问题没有考虑到安全性。
这是一种典型的软件设计逆向模式,它以灵活的方式描述客户端空之间执行任意操作,而不是只让驱动程序执行特定的任务,并传达给zdnet。
虽然像这样构建驱动程序和APP系统开发软件很容易,但是打开系统加以利用。
受影响的供应商
shkatov表示,他的公司通知了各硬件供应商,他们提供的驱动程序允许客户空之间的APP执行内核代码。 更新后的供应商如下所示。
●美国大趋势国际( ami ) ) ) ) )。
●华发动机
●美国计算机
●ATI技术( amd ) )。
●映泰
●evga
●getac
●技嘉
●华为
●同步
●英特尔
●微星国际( msi )
●nvidia
●phoenix技术公司
●realtek半导体
●超微型计算机
●东芝
一些供应商(如英特尔和华为)宣布更新。 像凤凰和insyde这样的ibv [独立bios供应商]向顾客oem发布了他们的更新。 shkatov告诉了zdnet。
据报道,eclypsium研究员称,他没有透露所有受影响的供应商的名字。 因为特殊情况可能需要追加时间,所以计划发表将来的修复和提案。
据eclypsium的研究人员称,他计划在演讲结束后将受影响的驱动程序及其散列表发布到github上,以帮助客户和管理员屏蔽受影响的驱动程序。
此外,shaktov表示,微软将采用hvci (虚拟机管理程序强制执行的代码互补性)功能,并将报告的驱动程序列入黑名单。
但是,shaktov表示hvci功能只支持第7代英特尔CPU或更高版本。 旧系统必须手动干预无法启用hvci的新intel cpu。
为了使用容易受到攻击的驱动器,攻击者必须已经破坏了计算机。 微软在一份声明中说。 为了解决这些问题,微软建议客户使用windows Defender应用程序控制程序来阻止已知的易受攻击软件和驱动程序。 客户可以通过为windows security中的强大设备启用内存完整性来进一步保护自己。 微软与域合作伙伴合作,私下公开漏洞,协助保护客户。
免责声明:星空分类目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,星空网站目录平台不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站将予以删除。