Veszélyes driverekre figyelmeztet az Eclypsium beszámolója

40-nél is több driverben találtak biztonsági réseket, amelyeken keresztül elég csúnya dolgokat vihetnek véghez a támadók.

Veszélyes driverekre figyelmeztet az Eclypsium beszámolója

Az Eclypsium, amely biztonságtechnikai kutatással és biztonságtechnikai megoldásokkal foglalkozik, nemrégiben tett közzé egy érdekes beszámolót. Ebben arra hívják fel a figyelmet a vállalat szakemberei, hogy több nagy és neves gyártó is veszélyes hibákkal teli drivereket tesz elérhetővé a felhasználók számára, amelyeken keresztül a felkészült támadók könnyedén emeltszintű jogosultságokat tudnak szerezni. És az emelt szint alatt itt nem „egyszerű” rendszergazdai jogkörre kell gondolni, hanem sokkal magasabb, akár RING 0 szint alatti hozzáférésre, ami lehetőséget biztosít arra, hogy kvázi észrevétlenül működő, szinte eltávolíthatatlan kártevők települjenek az adott rendszerre.

Az Eclypsium szakemberei 40-nél is több olyan drivert találtak, amelyek nem kínálnak megfelelő biztonságot, vagyis emeltszintű jogosultsághoz lehet jutni rajtuk keresztül, ezeket a drivereket pedig legkevesebb 20 különböző vállalat készítette – mindegyikben vannak biztonsági rések. A „Screwed Drivers” névre keresztelt beszámoló alapján az Intel, az Nvidia, illetve az AMD által készített driverek egyaránt sebezhetőek, ami pedig szerintük még egy fokkal aggasztóbb, az az, hogy ezeket a drivereket a Microsoft tanúsítvánnyal látja el, vagyis ez a tanúsítvány nem jelent olyan biztonságot, mint azt sokan várnák.

Galéria megnyitása

A biztonsági réseken keresztül beférkőző malware a teljes rendszer felett irányításra tehet szert, amennyiben elég magas szintű jogosultságokat szerez, a fertőzött rendszeren pedig az sem segít, ha közönséges tisztítást hajtanak végre – nehezen eltávolítható mivolta miatt később is folytathatja az adatszivárogtatást, valamint újabb támadásoknak is teret engedhet. Akár akkor is, ha időközben a konfiguráció új gazdához kerül és új rendszer kap rajta helyet, amennyiben a firmware-t fertőzi meg. A szakemberek szerint a sikerhez csak egy biztonsági réssel ellátott driverre van szükség, amelyet rendszergazdai jogosultságokkal telepítettek – mivel rengeteg olyan driver érhető el, amelyek biztonsági réseket tartalmaznak, rengetegen lehetnek potenciális veszélyben.

Az Eclypsium szakemberei szerint sokszor maguk az új driverek, illetve a driver- és firmware-frissítéshez használt eszközök jelentik a veszélyt, hála a biztonsági réseiknek. Ennek ellenére azt javasolják, tartsuk frissen a drivereket, valamint mindig telepítsük a biztonsági frissítéssel ellátott kiadásokat, frissítsünk rendszeresen firmware-t.

A szakemberek jelenleg még együttműködést folytatnak az érintettekkel annak érdekében, hogy elkészülhessenek a friss, foltozott driverek és eszközök, így egyelőre nem világos, pontosan mely driver kiadások érintettek, illetve a támadások teljesen pontos mechanizmusáról sem adott nyilvános tájékoztatást a cég.

Annyit azért elárultak, mely vállalatok érintettek az ügyben, ezt az alábbi lista tartalmazza:

  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • Gigabyte
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • Nvidia
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

A DEF CON alkalmával tartott prezentáció keretén belül három olyan támadási módszerről azért már beszéltek a vállalat illetékesei, amelyek segítségével magasabb jogosultsági szintet lehet szerezni, ha kiaknázzák  a driverek sebezhetőségeit. Ez a három kategória az RWEverything, a Lojax, illetve a Slingshot. Mindhárom sikerességének alapja, hogy a Windows azokat a drivereket is betölti, amelyek hibás, lejárt vagy elavult tanúsítvánnyal rendelkeznek. Azt nem részletezték a biztonságtechnikai szakemberek, hogy az egyes kategóriák esetében milyen lépéseken keresztül lehet eljutni a magasabb jogosultsági szinthez, de némi érdekességet azért elárultak. Az RWEverything egy speciális segédprogram, amelyen keresztül szinte minden hardver interfészt el lehet érni szoftveren keresztül.

Galéria megnyitása

Galéria megnyitása grid_on

Ez az alkalmazás a felhasználói rétegen dolgozik, de egy RWDrv.sys drivert használ, ami kernel módban üzemel és rendelkezik aláírással is. Az említett fájl segítségével Ring 0 hozzáférést szerezhet az adott malware, így a háttérben, észrevétlenül tevékenykedhet. Az RWDrv.sys fájlt használja a LoJax, az első UEFI malware is, ami elérést szerez a PCH-ban található SPI vezérlőhöz, így módosítani tudja az UEFI BIOS-t, ami rengeteg lehetőség előtt nyitja meg a kapukat. A harmadik, azaz a Slingshot egy saját rosszindulatú driverrel rendelkezik, amelyen keresztül egyéb driverek sérülékenységeit lehet kihasználni, meg lehet kerülni az illesztőprogram-aláírását követelő védelmi rendszert, majd telepíteni lehet akár egy rootkitet is.

Az érintettek már dolgoznak a frissítéseken.

Neked ajánljuk

Kiemelt
{{ voucherAdditionalProduct.originalPrice|formatPrice }} Ft
Ajándékutalvány
-{{ product.discountDiff|formatPriceWithCode }}
{{ discountPercent(product) }}
Új
Teszteltük
{{ product.commentCount }}
{{ product.displayName }}
csak b2b
nem elérhető
{{ product.originalPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.displayName }}

Tesztek

{{ i }}
{{ totalTranslation }}
Sorrend

Szólj hozzá!

A komment írásához előbb jelentkezz be!
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mondd el, mit gondolsz a cikkről.

Kapcsolódó cikkek

Magazin címlap