Az Eclypsium, amely biztonságtechnikai kutatással és biztonságtechnikai megoldásokkal foglalkozik, nemrégiben tett közzé egy érdekes beszámolót. Ebben arra hívják fel a figyelmet a vállalat szakemberei, hogy több nagy és neves gyártó is veszélyes hibákkal teli drivereket tesz elérhetővé a felhasználók számára, amelyeken keresztül a felkészült támadók könnyedén emeltszintű jogosultságokat tudnak szerezni. És az emelt szint alatt itt nem „egyszerű” rendszergazdai jogkörre kell gondolni, hanem sokkal magasabb, akár RING 0 szint alatti hozzáférésre, ami lehetőséget biztosít arra, hogy kvázi észrevétlenül működő, szinte eltávolíthatatlan kártevők települjenek az adott rendszerre.
Az Eclypsium szakemberei 40-nél is több olyan drivert találtak, amelyek nem kínálnak megfelelő biztonságot, vagyis emeltszintű jogosultsághoz lehet jutni rajtuk keresztül, ezeket a drivereket pedig legkevesebb 20 különböző vállalat készítette – mindegyikben vannak biztonsági rések. A „Screwed Drivers” névre keresztelt beszámoló alapján az Intel, az Nvidia, illetve az AMD által készített driverek egyaránt sebezhetőek, ami pedig szerintük még egy fokkal aggasztóbb, az az, hogy ezeket a drivereket a Microsoft tanúsítvánnyal látja el, vagyis ez a tanúsítvány nem jelent olyan biztonságot, mint azt sokan várnák.
A biztonsági réseken keresztül beférkőző malware a teljes rendszer felett irányításra tehet szert, amennyiben elég magas szintű jogosultságokat szerez, a fertőzött rendszeren pedig az sem segít, ha közönséges tisztítást hajtanak végre – nehezen eltávolítható mivolta miatt később is folytathatja az adatszivárogtatást, valamint újabb támadásoknak is teret engedhet. Akár akkor is, ha időközben a konfiguráció új gazdához kerül és új rendszer kap rajta helyet, amennyiben a firmware-t fertőzi meg. A szakemberek szerint a sikerhez csak egy biztonsági réssel ellátott driverre van szükség, amelyet rendszergazdai jogosultságokkal telepítettek – mivel rengeteg olyan driver érhető el, amelyek biztonsági réseket tartalmaznak, rengetegen lehetnek potenciális veszélyben.
Az Eclypsium szakemberei szerint sokszor maguk az új driverek, illetve a driver- és firmware-frissítéshez használt eszközök jelentik a veszélyt, hála a biztonsági réseiknek. Ennek ellenére azt javasolják, tartsuk frissen a drivereket, valamint mindig telepítsük a biztonsági frissítéssel ellátott kiadásokat, frissítsünk rendszeresen firmware-t.
A szakemberek jelenleg még együttműködést folytatnak az érintettekkel annak érdekében, hogy elkészülhessenek a friss, foltozott driverek és eszközök, így egyelőre nem világos, pontosan mely driver kiadások érintettek, illetve a támadások teljesen pontos mechanizmusáról sem adott nyilvános tájékoztatást a cég.
Annyit azért elárultak, mely vállalatok érintettek az ügyben, ezt az alábbi lista tartalmazza:
- ASRock
- ASUSTeK Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- Gigabyte
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- Nvidia
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
A DEF CON alkalmával tartott prezentáció keretén belül három olyan támadási módszerről azért már beszéltek a vállalat illetékesei, amelyek segítségével magasabb jogosultsági szintet lehet szerezni, ha kiaknázzák a driverek sebezhetőségeit. Ez a három kategória az RWEverything, a Lojax, illetve a Slingshot. Mindhárom sikerességének alapja, hogy a Windows azokat a drivereket is betölti, amelyek hibás, lejárt vagy elavult tanúsítvánnyal rendelkeznek. Azt nem részletezték a biztonságtechnikai szakemberek, hogy az egyes kategóriák esetében milyen lépéseken keresztül lehet eljutni a magasabb jogosultsági szinthez, de némi érdekességet azért elárultak. Az RWEverything egy speciális segédprogram, amelyen keresztül szinte minden hardver interfészt el lehet érni szoftveren keresztül.
Ez az alkalmazás a felhasználói rétegen dolgozik, de egy RWDrv.sys drivert használ, ami kernel módban üzemel és rendelkezik aláírással is. Az említett fájl segítségével Ring 0 hozzáférést szerezhet az adott malware, így a háttérben, észrevétlenül tevékenykedhet. Az RWDrv.sys fájlt használja a LoJax, az első UEFI malware is, ami elérést szerez a PCH-ban található SPI vezérlőhöz, így módosítani tudja az UEFI BIOS-t, ami rengeteg lehetőség előtt nyitja meg a kapukat. A harmadik, azaz a Slingshot egy saját rosszindulatú driverrel rendelkezik, amelyen keresztül egyéb driverek sérülékenységeit lehet kihasználni, meg lehet kerülni az illesztőprogram-aláírását követelő védelmi rendszert, majd telepíteni lehet akár egy rootkitet is.
Az érintettek már dolgoznak a frissítéseken.