Shop menü

VESZÉLYES DRIVEREKRE FIGYELMEZTET AZ ECLYPSIUM BESZÁMOLÓJA

40-nél is több driverben találtak biztonsági réseket, amelyeken keresztül elég csúnya dolgokat vihetnek véghez a támadók.
Víg Ferenc (J.o.k.e.r)
Víg Ferenc (J.o.k.e.r)
Veszélyes driverekre figyelmeztet az Eclypsium beszámolója

Az Eclypsium, amely biztonságtechnikai kutatással és biztonságtechnikai megoldásokkal foglalkozik, nemrégiben tett közzé egy érdekes beszámolót. Ebben arra hívják fel a figyelmet a vállalat szakemberei, hogy több nagy és neves gyártó is veszélyes hibákkal teli drivereket tesz elérhetővé a felhasználók számára, amelyeken keresztül a felkészült támadók könnyedén emeltszintű jogosultságokat tudnak szerezni. És az emelt szint alatt itt nem „egyszerű” rendszergazdai jogkörre kell gondolni, hanem sokkal magasabb, akár RING 0 szint alatti hozzáférésre, ami lehetőséget biztosít arra, hogy kvázi észrevétlenül működő, szinte eltávolíthatatlan kártevők települjenek az adott rendszerre.

Az Eclypsium szakemberei 40-nél is több olyan drivert találtak, amelyek nem kínálnak megfelelő biztonságot, vagyis emeltszintű jogosultsághoz lehet jutni rajtuk keresztül, ezeket a drivereket pedig legkevesebb 20 különböző vállalat készítette – mindegyikben vannak biztonsági rések. A „Screwed Drivers” névre keresztelt beszámoló alapján az Intel, az Nvidia, illetve az AMD által készített driverek egyaránt sebezhetőek, ami pedig szerintük még egy fokkal aggasztóbb, az az, hogy ezeket a drivereket a Microsoft tanúsítvánnyal látja el, vagyis ez a tanúsítvány nem jelent olyan biztonságot, mint azt sokan várnák.

Galéria megnyitása

A biztonsági réseken keresztül beférkőző malware a teljes rendszer felett irányításra tehet szert, amennyiben elég magas szintű jogosultságokat szerez, a fertőzött rendszeren pedig az sem segít, ha közönséges tisztítást hajtanak végre – nehezen eltávolítható mivolta miatt később is folytathatja az adatszivárogtatást, valamint újabb támadásoknak is teret engedhet. Akár akkor is, ha időközben a konfiguráció új gazdához kerül és új rendszer kap rajta helyet, amennyiben a firmware-t fertőzi meg. A szakemberek szerint a sikerhez csak egy biztonsági réssel ellátott driverre van szükség, amelyet rendszergazdai jogosultságokkal telepítettek – mivel rengeteg olyan driver érhető el, amelyek biztonsági réseket tartalmaznak, rengetegen lehetnek potenciális veszélyben.

Az Eclypsium szakemberei szerint sokszor maguk az új driverek, illetve a driver- és firmware-frissítéshez használt eszközök jelentik a veszélyt, hála a biztonsági réseiknek. Ennek ellenére azt javasolják, tartsuk frissen a drivereket, valamint mindig telepítsük a biztonsági frissítéssel ellátott kiadásokat, frissítsünk rendszeresen firmware-t.

A szakemberek jelenleg még együttműködést folytatnak az érintettekkel annak érdekében, hogy elkészülhessenek a friss, foltozott driverek és eszközök, így egyelőre nem világos, pontosan mely driver kiadások érintettek, illetve a támadások teljesen pontos mechanizmusáról sem adott nyilvános tájékoztatást a cég.

Annyit azért elárultak, mely vállalatok érintettek az ügyben, ezt az alábbi lista tartalmazza:

  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • Gigabyte
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • Nvidia
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

A DEF CON alkalmával tartott prezentáció keretén belül három olyan támadási módszerről azért már beszéltek a vállalat illetékesei, amelyek segítségével magasabb jogosultsági szintet lehet szerezni, ha kiaknázzák  a driverek sebezhetőségeit. Ez a három kategória az RWEverything, a Lojax, illetve a Slingshot. Mindhárom sikerességének alapja, hogy a Windows azokat a drivereket is betölti, amelyek hibás, lejárt vagy elavult tanúsítvánnyal rendelkeznek. Azt nem részletezték a biztonságtechnikai szakemberek, hogy az egyes kategóriák esetében milyen lépéseken keresztül lehet eljutni a magasabb jogosultsági szinthez, de némi érdekességet azért elárultak. Az RWEverything egy speciális segédprogram, amelyen keresztül szinte minden hardver interfészt el lehet érni szoftveren keresztül.

Ez az alkalmazás a felhasználói rétegen dolgozik, de egy RWDrv.sys drivert használ, ami kernel módban üzemel és rendelkezik aláírással is. Az említett fájl segítségével Ring 0 hozzáférést szerezhet az adott malware, így a háttérben, észrevétlenül tevékenykedhet. Az RWDrv.sys fájlt használja a LoJax, az első UEFI malware is, ami elérést szerez a PCH-ban található SPI vezérlőhöz, így módosítani tudja az UEFI BIOS-t, ami rengeteg lehetőség előtt nyitja meg a kapukat. A harmadik, azaz a Slingshot egy saját rosszindulatú driverrel rendelkezik, amelyen keresztül egyéb driverek sérülékenységeit lehet kihasználni, meg lehet kerülni az illesztőprogram-aláírását követelő védelmi rendszert, majd telepíteni lehet akár egy rootkitet is.

Az érintettek már dolgoznak a frissítéseken.

Neked ajánljuk

    Tesztek

      Kapcsolódó cikkek

      Vissza az oldal tetejére