Подразделение анализа угроз (TAU) VMware недавно обнаружило 34 драйвера Windows с угрозами безопасности, включающие 237 файлов, причем часть их хеш-значений принадлежала старым устройствам.
Сертификаты безопасности многих из этих драйверов находятся в статусе «отозваны» или «истек срок действия», однако многие компании в различных отраслях до сих пор используют старые устройства, содержащие эти драйверы. TAU обнаружила эти проблемные драйверы посредством статического анализа автоматизированных сценариев, 30 из которых представляли собой WDM с доступом к встроенному ПО, а также четырех драйверов WDF, которые давали пользователям, не являющимся администраторами, полный контроль над устройством.
В настоящее время система Win11 использует целостность кода, защищенного гипервизором (HVCI), чтобы предотвратить загрузку проблемных драйверов по умолчанию, но команда TAU обнаружила, что, за исключением 5, другие проблемные драйверы могут загружаться нормально.
Команда TAU заявила, что злоумышленники могут использовать эти проблемные драйверы для стирания или изменения прошивки устройства, повышения прав доступа, отключения функций безопасности, установки антивирусных буткитов и т. д. даже без системных разрешений.
Текущие исследования проблемных драйверов служб безопасности сосредоточены на старых моделях WDM, но аналитики VMware теперь обнаружили проблемы и с новыми драйверами WDF.
Впоследствии исследователи успешно воспользовались уязвимостью для проверки.Команда создала экспериментальный драйвер (PoC) для драйвера AMD в операционной системе Win11, поддерживающей HVCI, который может запускать командную строку (cmd.exe). Другой драйвер PoC, разработанный командой, успешно реализовал функцию стирания прошивки на платформе Intel Apollo SoC.
Хотя исследователи сообщили о многих уязвимых драйверах, TAU утверждает, что их нового метода анализа достаточно, чтобы найти новые проблемные драйверы, которые все еще имеют действительные подписи. В настоящее время Microsoft пытается решить проблему драйвера с помощью подхода «списка запретов», а TAU также пытается предложить более комплексное и подходящее решение защиты.
