Исследователь кибербезопасности Eclypsium опубликовал отчет под названием «отказавшие драйверы», в котором сообщается о критическом недостатке в дизайне современных драйверов устройств от более чем 40 производителей оборудования, который позволяет получить привилегию от Ring 3 до Ring 0 (неограниченный доступ). на оборудование).
Длинный список производителей с драйверами, утвержденными программой Microsoft WHQL, включает крупные компании, такие как Intel, AMD, Nvidia, AMI, Phoenix, Asus, Toshiba, SuperMicro, Gigabyte, MSI и EVGA. Многие из последних являются производителями материнских плат, которые разрабатывают приложения для мониторинга и разгона оборудования, которые устанавливают драйверы режима ядра, используя аппаратный доступ Ring 0.
В рамках этого исследования Elypsium сообщает о трех типах атак на повышение привилегий, которые затрагивают эти драйверы: RWEverything, LoJax (первое вредоносное ПО UEFI) и SlingShot. Основой этих подвигов является то, каким образом Windows продолжает работать с ошибочными, устаревшими или просроченными сертификатами. Eclypsium не детализировал каждую проблему, но кратко определил все три в презентации DEF CON.
Компания работает с несколькими компаниями из списка для разработки исправлений и исправлений.
Add comment