Непривилегированные субъекты угроз могут использовать до 34 уникальных уязвимых драйверов Windows Model Driver (WDM) и Windows Driver Framework (PDF) для получения полного контроля над устройствами и выполнения произвольного кода в базовых системах.
"Используя драйверы, злоумышленник, не имеющий привилегий, может стереть / изменить встроенное ПО и / или повысить привилегированность [операционной системы]", - сказал Такахиро Харуяма, старший исследователь угроз VMware Carbon Black.
Исследование дополняет предыдущие исследования, такие как отвертки и ПОПКОРН, в которых использовалось символическое выполнение для автоматизации обнаружения уязвимых драйверов. В нем особое внимание уделяется драйверам, которые обеспечивают доступ к встроенному ПО через порт ввода-вывода и ввод-вывод с привязкой к памяти.
Имена некоторых уязвимых драйверов включают AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys , rtif.sys , rtport.sys, stdcdrv64.sys и TdkLib64.sys (CVE-2023-35841).
Из 34 драйверов шесть разрешают доступ к памяти ядра, которым можно злоупотреблять для повышения привилегий и устранения неполадок в решениях безопасности. Двенадцать из драйверов могут быть использованы для подрыва механизмов безопасности, таких как рандомизация расположения адресного пространства ядра (KASLR).
Семь драйверов, включая Intel stdcdrv64.sys, могут быть использованы для удаления встроенного программного обеспечения из флэш-памяти SPI, что делает систему не загружаемой. С тех пор Intel выпустила исправление проблемы.
VMware заявила, что также идентифицировала драйверы PDF, такие как WDTKernel.sys и H2OFFT64.sys которые не уязвимы с точки зрения контроля доступа, но могут быть тривиально применены к привилегированным субъектам угрозы для осуществления так называемой атаки с использованием вашего собственного уязвимого драйвера (BYOVD).
Этот метод использовался различными злоумышленниками, включая связанную с Северной Кореей Lazarus Group, как способ получить повышенные привилегии и отключить программное обеспечение безопасности, работающее на скомпрометированных конечных точках, чтобы избежать обнаружения.
"Текущая область применения API / инструкций, предназначенных для [скрипта IDAPython для автоматизации статического анализа кода или уязвимых драйверов x64], узка и ограничена только доступом к встроенному ПО", - сказал Харуяма.
"Однако легко расширить код, чтобы охватить другие векторы атаки (например, завершение произвольных процессов)".
"Используя драйверы, злоумышленник, не имеющий привилегий, может стереть / изменить встроенное ПО и / или повысить привилегированность [операционной системы]", - сказал Такахиро Харуяма, старший исследователь угроз VMware Carbon Black.
Исследование дополняет предыдущие исследования, такие как отвертки и ПОПКОРН, в которых использовалось символическое выполнение для автоматизации обнаружения уязвимых драйверов. В нем особое внимание уделяется драйверам, которые обеспечивают доступ к встроенному ПО через порт ввода-вывода и ввод-вывод с привязкой к памяти.
Имена некоторых уязвимых драйверов включают AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys , rtif.sys , rtport.sys, stdcdrv64.sys и TdkLib64.sys (CVE-2023-35841).
Из 34 драйверов шесть разрешают доступ к памяти ядра, которым можно злоупотреблять для повышения привилегий и устранения неполадок в решениях безопасности. Двенадцать из драйверов могут быть использованы для подрыва механизмов безопасности, таких как рандомизация расположения адресного пространства ядра (KASLR).
Семь драйверов, включая Intel stdcdrv64.sys, могут быть использованы для удаления встроенного программного обеспечения из флэш-памяти SPI, что делает систему не загружаемой. С тех пор Intel выпустила исправление проблемы.
VMware заявила, что также идентифицировала драйверы PDF, такие как WDTKernel.sys и H2OFFT64.sys которые не уязвимы с точки зрения контроля доступа, но могут быть тривиально применены к привилегированным субъектам угрозы для осуществления так называемой атаки с использованием вашего собственного уязвимого драйвера (BYOVD).
Этот метод использовался различными злоумышленниками, включая связанную с Северной Кореей Lazarus Group, как способ получить повышенные привилегии и отключить программное обеспечение безопасности, работающее на скомпрометированных конечных точках, чтобы избежать обнаружения.
"Текущая область применения API / инструкций, предназначенных для [скрипта IDAPython для автоматизации статического анализа кода или уязвимых драйверов x64], узка и ограничена только доступом к встроенному ПО", - сказал Харуяма.
"Однако легко расширить код, чтобы охватить другие векторы атаки (например, завершение произвольных процессов)".
