Критически важное ПО Windows содержит фундаментальные ошибки

КРИТИЧЕСКИ ВАЖНОЕ ПО WINDOWS СОДЕРЖИТ ФУНДАМЕНТАЛЬНЫЕ ОШИБКИ

12.08.19
Исследователи ИБ обнаружили опасные уязвимости более чем в 40 драйверах ядра, которые используются в процессорах ведущих поставщиков компьютерного оборудования. Баги позволяют злоумышленникам получать максимальные привилегии на пользовательских устройствах и оставаться в системе даже после полного удаления данных.
Как пояснили эксперты, проблема связана с ошибками проектирования компьютерных систем. Некоторые аппаратные ресурсы, включая ядро Windows, должны быть доступны только избранному ПО, чтобы обычные приложения не могли менять критически важные данные. Однако злоумышленники могут воспользоваться упомянутыми драйверами, чтобы осуществить несанкционированные операции в обход систем безопасности Microsoft.

1565628224766.png


Открытый доступ к ядру устройства
В этом случае драйвер служит ширмой для обеспечения привилегированного доступа к защищенным ресурсам. В числе манипуляций, которые можно провести таким образом, специалисты называют чтение и запись данных процессора и операций ввода/вывода, а также работу с моделезависимыми регистрами (Model-Specific Registers, MSR), физической и виртуальной памятью ядра.
«Это не только обеспечивает злоумышленнику максимальные системные права, но и открывает доступ к программно-аппаратным интерфейсам, которые лежат еще глубже, например к прошивке BIOS», — предупреждают исследователи.
Для атаки взломщику достаточно минимального набора привилегий. Ему нужно установить на устройство вредоносное приложение, которое найдет уязвимый драйвер и далее с его помощью получит дополнительные права. В то же время, если на машине используется безопасное ПО, преступнику понадобится аккаунт администратора, чтобы загрузить и развернуть необходимый драйвер.

Применение уязвимостей в кибератаках
Киберпреступники уже взяли дыры на вооружение. В частности, уязвимостями модуля ядра пользуется группировка Slingshot, чтобы обойти процедуру проверки легитимных драйверов.
Другой пример —– зловред LoJax, который запускается из интерфейса UEFI, обеспечивая операторам надежное закрепление на атакованном компьютере.
Избавиться от существующей на этом уровне угрозы невозможно даже с переустановкой ОС.

Исследователи указывают, что проблема связана с нежеланием поставщиков ограничивать возможности драйверов. Вместо того чтобы прописать в коде конкретный набор допустимых операций, разработчики оставляют пространство для маневра, разрешая выполнение произвольных команд от имени пользовательских приложений. Это упрощает разработку ПО, но создает риск неправомерного использования критически важных подсистем.

Ликвидация угрозы
Исследователи сообщили разработчикам аппаратного обеспечения о существующей угрозе. Список производителей включает ASUS, NVIDIA, RealTek, Toshiba и многие другие компании. Некоторые из них, например Intel и Huawei, уже выпустили соответствующие патчи.

Эксперты также работают с Microsoft, чтобы заложить защиту от подобных угроз в фундамент ОС Windows. В частности, специалисты корпорации создадут черный список драйверов, которые открывают возможность несанкционированного доступа. Представители Microsoft призвали пользователей включить на своих машинах систему контроля приложений Защитника Windows, а также средство отслеживания целостности памяти Windows Security.

В апреле разработчики Microsoft закрыли две уязвимости, которые позволяли выполнять сторонний код на уровне ядра. Ошибки, присутствовавшие во всех версиях Windows, были связаны с некорректной обработкой объектов в памяти.

Threatpost
 
Последнее редактирование:
Назад
Сверху Снизу