Huawei, Intel, ASUS, AMD. Ich sterowniki narażają Windows na atak
Windows jest narażony na ataki. Luki znajdują się nie w systemie Microsoftu, ale w autentycznych sterownikach ponad 20 producentów sprzętu. Na liście jest Huawei, NVIDIA, Intel, AMD, ASUSTeK, GIGABYTE i wielu innych. Podatności można wykorzystać do podniesienia uprawnień.
12.08.2019 15:30
Analitycy zbadali autentyczne sterowniki dla różnych urządzeń. Podatności znaleźli w ponad 40 sterownikach, wydanych przez więcej niż 20 producentów sprzętu.
Infekcja przez sterownik ma katastrofalne skutki
Sterowniki umożliwiają komunikację między sprzętem i jądrem systemu, musi więc mieć wyższe uprawnienia niż użytkownicy systemu, łącznie z administratorem. Dlatego luki w sterownikach są wyjątkowo groźne. Za ich pośrednictwem atakujący może uzyskać dostęp do najbardziej podstawowych i najważniejszych mechanizmów działania systemu.
Ponadto sterowniki są używane do aktualizacji oprogramowania na urządzeniach. Atakujący mogą więc dostać się do niskopoziomowego kodu, do którego nie ma dostępu nawet system operacyjny. Cyberprzestępcy mogą nie tylko zainfekować system operacyjny, ale też płytę główną. Malware umieszczony w BIOS-ie czy UEFI, które jest uruchamiane jeszcze przed systemem operacyjnym, będzie niewidoczny dla większości antywirusów.
Jedyne wyjście to aktualizacja
Analitycy z firmy Eclypsium ujawnili, że znaleźli sterowniki umożliwiające uzyskanie uprawnień jądra z przestrzeni użytkownika. Podatne sterowniki posłużą jako pośrednictwo do wysokich uprawnień, a także sprzętu. Atakujący może uzyskać prawo zapisu i odczytu danych w pamięci podręcznej procesora, przestrzeni wejścia-wyjścia, rejestrach, RAM-ie i wirtualnej pamięci jądra.
Luki w sterownikach można wykorzystać na wszystkich współczesnych wersjach systemu Windows, aż po 10. Obecnie nie ma uniwersalnego zabezpieczenia, które obroniłoby nas przed załadowaniem dziurawego sterownika karty graficznej, dysku czy karty sieciowej.
Zagrożenie jest realne. Te same luki były już wykorzystywane przez dobrze opłacanych cyberszpiegów. Tą drogą LoJax infekował UEFI w taki sposób, że usunięcie go z płyty głównej było niemal niemożliwe.
Dlatego numery wersji podatnych sterowników i szczegóły jeszcze nie zostały podane do wiadomości publicznej. Producenci sprzętu zostali powiadomieni wcześniej i wielu z nich już wydało poprawki. Oto lista firm, których nazwy można było bezpiecznie ujawnić podczas konferencji:
- American Megatrends International (AMI)
- ASRock
- ASUSTeK Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
Skontaktowałam się z firmami działającymi w Polsce. Zaktualizuję artykuł, gdy otrzymam dodatkowe informacje. Na razie najlepiej upewnić się, że w systemie są zainstalowanie najświeższe sterowniki.