逾40款硬體驅動程式漏洞可讓駭客在Windows核心執行惡意程式，Intel、Nvidia及多家臺 灣廠商上榜 文/林妍溱 | 2019-08-12發表 安全廠商Eclypsium上周在駭客技術年會Black Hat USA上公布研究，20多家硬體廠商的40 多款驅動程式有權限升級漏洞，可能導致攻擊者在Windows核心執行惡意程式。英特爾、 Nvidia和多家臺灣硬體廠商上榜，不過他們也都完成並釋出修補程式。 作業系統核心為和硬體通訊，需要以核心模式的驅動程式作為中介，在Windows環境下， 是使用核心模式驅動程式框架（Kernel Mode Driver Framework，KMDF）。這些驅動程式 可以控制Windows電腦大大小小的動作，小至CPU風扇轉速、主機板LED燈的顏色、大至 BIOS更新、刷機等。驅動程式也擁有較一般使用者更高權限，也能在更底層作業而不受作 業系統管轄。 為了防止攻擊者濫用此類權限，微軟也設計了多種機制，像是WHQL（Windows Hardware Quality Lab）認證、程式簽章、延伸驗證（extended validation，EV）程式碼簽章等， 來防止非法、惡意驅動程式載入Windows核心。 但研究人員發現，多款經簽章的驅動程式存在安全漏洞，可被當作代理伺服器以便讀寫重 要的硬體資源，像是核心記憶體、內部CPU組態暫存器（registers）、PCI介面裝置等等 ，使這些合法驅動程式反而被攻擊者用來繞過甚至關閉Windows安全機制，進而執行任意 程式碼。 Eclypsium 首席研究分析師Mickey Shkatov指出，這些漏洞其實是出在驅動程式編寫實務 上未考量安全性所致。程式人員並未限制驅動程式可執行的任務類別，而是為了應用開發 的方便而設計得很彈性，讓使用者空間（userspace）中的低權限app，得以在Windows 核 心執行程式碼。所有近代的Windows作業系統都受到此漏洞影響。 研究人員發現，有20多家硬體廠商、超過40款驅動程式存在上述漏洞，經過安全廠商通報 已完成修補者包括，華碩（ASUSTEK）、ATI、技嘉（Gigabyte）、華為、英特爾、微星（ MSI）、nVidia、Phoenix、瑞昱（Realtek）、超微（SuperMicro）、東芝、AMI、華擎（ ASRock）、映泰（Biostar）、艾微克（EVGA）、神基（Getac）、系微（Insyde）等，他 們有的是直接發布給終端用戶，有的則是發佈給OEM客戶。但仍然有部份廠商需要更多時 間才能完成修補。 研究人員計畫之後要把受影響的驅動程式完整名單，公布在GitHub上。 https://ithome.com.tw/news/132355 723.1415926:有漏洞算圓周率才比較快 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1565614723.A.735.html ※ 編輯: hn9480412 (122.116.4.227 臺灣), 08/12/2019 20:59:49 ※ 編輯: hn9480412 (122.116.4.227 臺灣), 08/12/2019 21:03:36