یک کمپانی امنیتی به نام Eclypsium با انتشار گزارشی، پرده از وجود یک نقص به شدت خطرناک در طراحی درایور بیش از 40 سازنده سخت افزار برداشته است که در میان آنها اسامی بزرگی چون اینتل، انویدیا و AMD به چشم میخورد.
بر پایه گزارش منتشر شده، درایور سخت افزاری بیش از 40 سازنده سخت افزار حاوی یک نقص هستند که به بدافزار احتمالی امکان پریدن از حلقه 3 به 0 را میدهد که منجر به دسترسی نامحدود به سخت افزار میشود. در میان لیست منتشر شده، اسامی چون Intel ،AMD ،NVIDIA ،AMI ،Phoenix ،ASUS ،Toshiba ،SuperMicro ،GIGABYTE ،MSI و EVGA به چشم میرود که اتفاقاً درایورهای همه آنها دارای گواهی WHQL مایکروسافت نیز هستند.
بسیاری از اسامی این لیست سازنده مادربرد هستند که برنامههایی برای پایش و اورکلاک ارائه کردهاند. غالباً این برنامهها به منظور دسترسی به سخت افزار و تعامل با آن، درایورهای سطح هسته سیستم عامل نصب میکنند تا در سطح حلقه صفر به سخت افزار دست پیدا کنند.
Eclypsium سه دسته از حملات تشدید مجوز (Privilege escalation)؛ شامل RWEverything ،LoJax و SlingShot را شناسایی کرده که از نقص امنیتی موجود در درایورها بهره میگیرند. همه آنها از اکسپولیت کردن یک نقص بهره میگیرند و آن نحوه کار کردن ویندوز با درایورهایی است که دارای امضای دیجیتال منقضی شده، معیوب یا قدیمی هستند.
خبر خوب اینکه کمپانی امنیتی Eclypsium همکاری با برخی از سازندگان را به منظور رفع این نقص آغاز کرده است.
RWEverything توسط کمپانی امنیتی مذبور به عنوان یک ابزار برای دسترسی به کلیه رابطهای سخت افزاری از طریق نرم افزار معرفی شده است. RWEverything با بهره گیری از خلل موجود در طراحی درایورها، به بدافزارها امکان دسترسی به حلقه صفر را میدهد. LoJax اولین بدافزار UEFI است و از درایور RWDrv.sys ویندوز برای به دست آوردن دسترسی به کنترلر SPI مادربرد و دستکاری UEFI BIOS آن استفاده میکند. Slingshot یک APT با درایورهای مخرب خود است که سایر درایورها را برای دور زدن کنترل امضای دیجیتال ویندوز و نصب روت کیت اکسپلویت میکند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت