34 lỗ hổng ổ cứng Windows cho phép dễ chiếm đoạt quyền điều khiển toàn bộ thiết bị

www.tuoitre.vn -   02/11/2023 08:00:00 1696

Có tới 34 trình điều khiển Windows Driver Model (WDM) và Windows Driver Frameworks (WDF) dễ bị tấn công duy nhất có thể bị các tác nhân đe dọa không có đặc quyền khai thác để giành toàn quyền kiểm soát thiết bị và thực thi mã tùy ý trên các hệ thống cơ bản.

34 lỗ hổng ổ cứng Windows cho phép dễ chiếm đoạt quyền điều khiển toàn bộ thiết bị

Takahiro Haruyama, nhà nghiên cứu mối đe dọa cấp cao, cho biết: “Bằng cách khai thác trình điều khiển, kẻ tấn công không có đặc quyền có thể xóa/thay đổi phần sụn và/hoặc nâng cao đặc quyền của [hệ điều hành]”.

Nghiên cứu này mở rộng dựa trên các nghiên cứu trước đây, chẳng hạn như ScrewedDrivers và POPKORN đã sử dụng thực thi biểu tượng để tự động phát hiện các trình điều khiển dễ bị tấn công. Nó đặc biệt tập trung vào các trình điều khiển có chứa quyền truy cập chương trình cơ sở thông qua cổng I/O và I/O được ánh xạ bộ nhớ.

Tên của một số trình điều khiển dễ bị tấn công bao gồm AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE -2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys và TdkLib64.sys (CVE-2023-35841).

Trong số 34 trình điều khiển, sáu trình điều khiển cho phép truy cập bộ nhớ kernel có thể bị lạm dụng để nâng cao đặc quyền và đánh bại các giải pháp bảo mật. Mười hai trình điều khiển có thể bị khai thác để phá hoại các cơ chế bảo mật như ngẫu nhiên hóa bố cục không gian địa chỉ kernel (KASLR).

Bảy trình điều khiển, bao gồm stdcdrv64.sys của Intel, có thể được sử dụng để xóa phần sụn trong bộ nhớ flash SPI, khiến hệ thống không thể khởi động được. Intel đã đưa ra bản sửa lỗi cho vấn đề này.

Chuyên gia cho biết họ cũng xác định các trình điều khiển WDF như WDTKernel.sys và H2OFFT64.sys không dễ bị tổn thương về mặt kiểm soát truy cập, nhưng có thể bị các tác nhân đe dọa đặc quyền lợi dụng một cách tầm thường để thực hiện cái gọi là cuộc tấn công Mang theo trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD). .

Kỹ thuật này đã được nhiều đối thủ khác nhau sử dụng, bao gồm cả Tập đoàn Lazarus có liên kết với Triều Tiên, như một cách để đạt được các đặc quyền nâng cao và vô hiệu hóa phần mềm bảo mật chạy trên các thiết bị đầu cuối bị xâm nhập nhằm tránh bị phát hiện.

Haruyama cho biết: “Phạm vi hiện tại của các API/hướng dẫn mà [tập lệnh IDAPython để tự động hóa phân tích mã tĩnh của trình điều khiển dễ bị tấn công x64] nhắm đến là rất hẹp và chỉ giới hạn ở quyền truy cập chương trình cơ sở”.

“Tuy nhiên, thật dễ dàng để mở rộng mã để bao trùm các vectơ tấn công khác (ví dụ: chấm dứt các quy trình tùy ý).”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 21
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 29
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 28
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 24
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 15
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 26
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button