Вредоносные атаки на компьютеры под управлением Windows через неисправные драйверы
Исследователи безопасности обнаружили новые уязвимости в более чем 40 драйверах, сертифицированных Microsoft.
Проблема заключается в коде драйвера, который обеспечивает связь между ядром ОС и оборудованием, обеспечивая более высокий уровень разрешений, чем у обычного пользователя или администратора.
Уязвимости драйвера могут повлиять на миллионы
Список затронутых производителей оборудования включает в себя такие крупные компании, как Intel, Nvidia, Huawei, Toshiba и Asus. Вот как команда по кибербезопасности в Eclypsium, которая нашла уязвимости, описывает их :
Все эти уязвимости позволяют драйверу выступать в качестве прокси-сервера для выполнения высокопривилегированного доступа к аппаратным ресурсам, таким как доступ на чтение и запись к пространству ввода-вывода процессора и набора микросхем, регистры, зависящие от модели (MSR), регистры управления (CR), отладка. Регистры (DR), физическая память и виртуальная память ядра. Это повышение привилегий, поскольку оно может перевести злоумышленника из пользовательского режима (кольцо 3) в режим ядра ОС (кольцо 0). Концепция защитных колец обобщена на изображении ниже, где каждому внутреннему кольцу предоставляется все больше привилегий. Важно отметить, что даже администраторы работают на кольце 3 (и не на более глубоком уровне) вместе с другими пользователями. Доступ к ядру может не только дать злоумышленнику самый привилегированный доступ к операционной системе, но также может предоставить доступ к аппаратным и программно-аппаратным интерфейсам с еще более высокими привилегиями, такими как прошивка системного BIOS.
Это означает, что неисправные драйверы могут позволить вредоносным приложениям получать права ядра, напрямую влияя на прошивку и оборудование. Кроме того, переустановка ОС не решит проблему.
Это тот случай, когда микропрограммы BIOS и UEFI, которые когда-то были затронуты, не могут быть восстановлены путем переустановки ОС.
Все версии Windows затронуты
Стоит отметить, что более 40 драйверов были затронуты, и проблема касается всех версий Windows, а не только Windows 10.
Microsoft настоятельно рекомендует своим клиентам использовать Защитник приложений Windows Defender для блокировки неизвестного программного обеспечения и включения целостности памяти для совместимых устройств в Windows Security .
Вот полный список затронутых поставщиков:
- ASRock
- ASUSTeK Компьютер
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Феникс Технологии
- Realtek Semiconductor
- SuperMicro
- Тошиба
Некоторые из них уже развернули исправления, но другие все еще находятся под эмбарго.
Чтобы обеспечить безопасность вашей системы, регулярно проверяйте устаревшие драйверы и устанавливайте последние исправления драйверов от вышеупомянутых производителей.
Чтобы помочь вам, мы подготовили руководство по обновлению устаревших драйверов, поэтому обязательно ознакомьтесь с ним.
ЧИТАЙТЕ ТАКЖЕ:
- Как: обновить графический драйвер на Windows 10
- 9 лучших антивирусных программ с шифрованием для защиты ваших данных
- Microsoft Defender ATP — это новое кроссплатформенное предложение безопасности от Microsoft