Рекомендуем почитать:
На конференции DEFCON в Лас-Вегасе специалисты компании Eclypsium рассказали о распространенных конструктивных дефектах, обнаруженных более чем в 40 драйверах 20 крупных производителей.
Исследователи предупредили, что драйверы могут подвергаться злоупотреблениям с целью повышения привилегий. Так, приложения с низким уровнем привилегий могут использовать легитимные функции драйверов для выполнения вредоносных действий в наиболее уязвимых областях ОС (к примеру, в ядре Windows). В итоге злоумышленники, например, получат возможность скрыть свою малварь на зараженной машине таким образом, чтобы та оставалась незамеченной долгое время.
По сути, злоупотребление функциональностью драйверов позволяет обойти базовое разграничение привилегий, известное как кольца защиты. Суть этой модели безопасности в том, что отдельные процессорные инструкции могут выполняться только в наиболее привилегированном нулевом кольце, где властвует ядро ОС. Следующие кольца с номерами один и два менее привилегированные. Они отданы драйверам, а также гипервизорам, эмуляторам, песочницам и прочим системам виртуализации. Что именно там будет выполняться — зависит от ОС. При этом в любой ОС все пользовательские процессы запускаются в непривилегированном (обычно последнем) кольце защиты.
Так как драйверы устройств являются своего рода «посредниками» между оборудованием и самой операционной системой, в большинстве случаев они имеют привилегированный доступ к ядру, и эксплуатация уязвимостей может привести к выполнению произвольного кода на уровне ядра. Такая атака на повышение привилегий поможет злоумышленнику «переместиться» из пользовательского пространства (кольцо 3) к ядру ОС (кольцо 0), как показано на рисунке ниже.
Исследователи рассказывают, что в силу обнаруженных ими конструктивных дефектов приложения из userspace могут злоупотреблять подписанными драйверами и использовать их для чтения/записи в наиболее защищенных областях, без каких-либо ограничений или проверок со стороны Microsoft. Хуже того, эксперты полагают, что возможные сценарии атак не ограничиваются системами, в которых уже установлены уязвимые драйверы: злоумышленники могут и специально устанавливать их ради повышения привилегий и укрепления присутствия в системе.
Также отмечается, что подобные атаки, злоупотребляющие функциональностью драйверов, уже встречались ИБ-специалистам ранее, то есть их нельзя назвать чисто теоретическими. К примеру, такая тактика использовалась во время проведения кампании Slingshot, а также руткит Lojax использовал для взаимодействия с UEFI/BIOS именно драйвер.
Специалисты Eclypsium уже уведомили об обнаруженных проблемах всех производителей, чьи продукты поставляются с уязвимыми драйверами, позволяющими приложениям из пользовательского пространства запускать код на уровне ядра. Обновления уже выпустили следующие компании:
Однако специалисты предупреждают, что на самом деле уязвимых вендоров больше, а названия ряда компаний пока не раскрываются, так как им потребовалось дополнительное время на создание и выпуск исправлений. В будущем исследователи планируют опубликовать полный список проблемных драйверов и хэшей на GitHub, но лишь после того, как будут выпущены все исправления, а большинство пользователей установят обновления.
Больше технических подробностей можно найти в докладе, уже опубликованном экспертами Eclypsium.
Читайте также
Последние новости