其他

AMD、Intel、NVIDIA驱动程序发现严重漏洞数百万用户或面临恶意软件提权风险

自去年爆出了多个处理器潜在的安全漏洞,因为这一年,特别是Meltown、Spectre及Foreshadow三大漏洞及其衍生出来的多个变种,不论是个人还是企业都面临着严峻的漏洞威胁,网络安全公司Eclypsium的研究人员在日前分享了一个称为「SCREWED DRIVERS」的安全漏洞调查结果,显示来自20家硬件供应商的40多个不同驱动程序包含的代码包含缺陷,可能被利用来加剧特权攻击升级,名单上的包括了Intel、AMD、NVIDIA、华为、Toshiba等大型公司,更令人担忧的是,所有这些驱动程序都经过Microsoft认证。

根据Eclypsium最新的调查报告提到:「最新发展的漏洞名为 SCREWED DRIVERS ,所有这些漏洞都允许驱动程序充当代理,以执行对硬件资源的高权限访问,例如对处理器和晶片组I/O空间的读写访问,Model Specific Registers(MSR)模型特定寄存器、Control Registers(CR)控制寄存器、Debug Registers(DR)调试寄存器、Physical memory物理內存及Kernel virtual memory内核虚拟內存,从而实现权限提升,因为它可以将攻击者从用户模式(Ring 3)移动到OS内核模式(Ring 0)。」

AMD、Intel、NVIDIA驱动程序发现严重漏洞数百万用户或面临恶意软件提权风险图片

如上图所示,攻击者能够从用户模式(Ring 3)提权至操作系统的内核模式(Ring 0),这样恶意软件就会拥有更多的权限,而驱动程序中的漏洞会使恶意软件较为轻松获取高等级的权限,还可以授予对具有更高权限(如系统BIOS固件)的硬件及固件接口。由于驱动程序通常是更新固件的一部份,因此驱动程序不仅获得必要的高权限,还可以取得进行更改的机制。换句话说,恶意软件可以扫描受害用户系统上较易受攻击的驱动程序,然后使用它来获得对系统和底层固件的完全控制。

Eclypsium亦展示了如Slingshot攻击、LoJax恶意软件等方式攻击驱动或固件。如LoJax恶意软件可向受害设备的固件中安装恶意软件,并在整个操作系统安装过程中持续存在。这些设备中的持久性恶意软件可以读取、写入或重新定向,并通过网络储存、显示或发送的数据。

研究人员发现,多间BIOS供应商包括Intel、AMD、NVIDIA、华为、Toshiba等驱动程序都存在这个严重漏洞(列表如下),然而所有不安全的驱动程序都是由有效的证书颁发机构签署并经过Microsoft认证。 

.American Megatrends International (AMI)

.ASRock

.ASUSTeK Computer

.ATI Technologies (AMD)

.Biostar

.EVGA

.Getac

.GIGABYTE

.Huawei

.Insyde

.Intel

.Micro-Star International (MSI)

.NVIDIA

.Phoenix Technologies

.Realtek Semiconductor

.SuperMicro

.Toshiba

Eclypsium表示,这些驱动可以影响所有版本的Windows,这意味着至少数百万Windows用户面临着安全风险,因为这些驱动运行恶意应用程序在用户级别获得内核权限,从而可以直接访问固件和硬件,并强调恶意软件可以通过这些驱动直接安装到固件中,因此重装系统甚至都可能无法彻底解决问题。

AMD、Intel、NVIDIA驱动程序发现严重漏洞数百万用户或面临恶意软件提权风险图片

如果系统中已存在易受攻击的驱动程序,则恶意应用程序只需利用它获取权限。如果电脑中不存在这些驱动程序,恶意应用程序可能会自带驱动引导用户安装,但需要管理员批准才能安装它们。

对此,Microsoft建议用户可以利用Windows Defender来阻止未知来源的软件和驱动程序。

酷电脑www.kudiannao.com总结:自去年爆出了多个处理器潜在的安全漏洞,因为这一年,特别是Meltown、Spectre及Foreshadow三大漏洞及其衍生出来的多个变种,不论是个人还是企业都面临着严峻的漏洞威胁,网络安全公司...欢迎把本文分享给你的朋友:https://www.kudiannao.com/article/4693.html 点此投稿

京东电脑电脑配件选购

相关推荐