20家供應商存在40個內核安全漏洞：包括英特爾、英偉達、華為等

在今天於拉斯維加斯舉行的DEF CON 27安全大會上，固件和硬體安全公司Eclypsium的安全研究人員介紹了他們在20家不同硬體供應商的40多個內核驅動程序中發現的幾個常見設計漏洞。

常見設計漏洞是指，低級許可權應用程序可以使用合法的驅動程序功能在Windows操作系統最敏感的區域（比如Windows內核）執行惡意操作。

「所有這些漏洞讓驅動程序得以充當代理，進而對硬體資源執行需要高級許可權的訪問，比如對處理器及晶元組I/O空間、特殊模塊寄存器（MSR）、控制寄存器（CR）、調試寄存器（DR）、物理內存以及內核虛擬內存進行讀寫訪問。」

攻擊者可以從內核進而進入到固件和硬體介面，因而繞過平常威脅防禦產品的檢測功能（它們工作於操作系統層面），攻擊目標主機。

將驅動程序安裝到Windows上需要管理員許可權，需要由微軟認證的可信賴第三方授予許可權。代碼還由有效的證書管理機構（CA）簽名，以證實真實性。若沒有簽名，Windows向用戶發布警告信息。

然而，Eclypsium的研究提到了合法驅動程序擁有Windows接受的有效簽名。這些驅動程序並非設計成惡意程序，但含有可以被惡意程序和不法分子濫用的漏洞。

研究人員稱，他們發現一些易受攻擊的驅動程序包括顯卡、網卡、硬碟及其他設備的驅動程序。

Eclypsium的首席研究員Mickey Shkatov在本周早些時候的一封電子郵件中告訴IT外媒ZDNet：「有許多硬體資源通常只能由享有許可權的軟體（比如Windows內核）訪問，這些硬體資源需要加以保護，防範來自用戶空間應用程序的惡意讀/寫。」

他補充道：「如果簽名驅動程序提供的功能可以被用戶空間應用程序濫用，以針對這些敏感資源執行任意的讀/寫，又沒有來自微軟的任何限制或檢查，設計漏洞就會出現。」

Shkatov將他發現的問題歸咎於糟糕的編程做法，這些編程做法並沒有考慮安全性。

他稱：「這是一種常見軟體設計反模式；也就是說，不是讓驅動程序僅僅執行特定的任務，而是以一種靈活的方式來編寫，就為了代表用戶空間執行任意操作。」

「以這種方式設計驅動程序和應用程序的結構更容易開發軟體，但也將系統置於被利用的險境。」

受影響的供應商

Shkatov表示，他公司已通知交付的驅動程序讓用戶空間應用程序可以運行內核代碼的每家硬體供應商。下面列出了已發布更新的供應商。

AMI

華擎（ASRock）

華碩

ATI Technologies（AMD）

映泰（Biostar）

EVGA

神基（Getac）

技嘉

華為

英特爾

微星國際（MSI）

英偉達

Phoenix Technologies

瑞昱半導體（Realtek Semiconductor）

超微

東芝

Shkatov稱 ：「英特爾和華為等一些供應商已經發布了更新。Phoenix Technologies和系微等一些IBV（獨立BIOS供應商）正在向其客戶OEM廠商發布更新。」

不過Eclypsium的這位研究人員表示，他沒有透露所有受影響的供應商的名稱，因為一些供應商「因情況特殊而需要額外的時間」，將來會發布補丁和安全公告。

這位研究人員表示，他計劃在大會上介紹後在GitHub上發布受影響的驅動程序的完整列表，以便用戶和管理員可以阻止受影響的驅動程序。

此外Shaktov表示，微軟將使用其HVCI（虛擬機管理程序執行的代碼完整性）功能，將上報給微軟的驅動程序列入黑名單。

然而，Shaktov表示HVCI功能僅在第7代英特爾CPU及以後版本上得到支持。舊系統需要手動干預，連無法啟用HVCI的較新英特爾CPU也需要手動干預。

微軟在一份聲明中說：「為了利用易受攻擊的驅動程序，攻擊者就需要已經攻陷計算機。為了幫助緩解這類問題，微軟建議客戶使用Windows Defender Application Control來阻止已知易受攻擊的軟體和驅動程序。客戶可以在Windows Security中為功能強大的設備啟用內存完整性，進一步保護自己。微軟與行業合作夥伴積極合作，非公開披露漏洞，並共同幫助保護客戶。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！