Такахиро Харуями обнаружил что 34 уязвимых Windows Driver Model (WDM) и Windows Driver Frameworks (WDF) драйверов могут быть использованы неавторизованными злоумышленниками для получения полного контроля над устройствами и выполнения произвольного кода на подлежащих системах.
«Используя эти драйверы, атакующие без привилегий могут удалить/изменить прошивку, а также повысить привилегии операционной системы», — заявил старший исследователь угроз Takahiro Haruyama из VMware Carbon Black.
Расследование, проведенное VMware Carbon Black, расширяет предыдущие исследования, такие как ScrewedDrivers и POPKORN, которые использовали символическое исполнение для автоматического обнаружения уязвимых драйверов. Оно фокусируется на драйверах, содержащих доступ к прошивке через порты ввода-вывода и память с произвольным доступом.
Среди уязвимых драйверов названы AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, и TdkLib64.sys (CVE-2023-35841).
Из 34 драйверов шесть позволяют доступ к памяти, который может быть использован для повышения привилегий и обхода средств безопасности. Двенадцать драйверов могут использоваться для обхода механизмов безопасности, таких как Kernel Address Space Layout Randomization (KASLR).
Семь из этих драйверов могут быть использованы для удаления прошивки в SPI-флеш-памяти, делая систему неработоспособной. Intel выпустил исправление для этой проблемы.
VMware заявила, что также обнаружила WDF-драйверы, такие как WDTKernel.sys и H2OFFT64.sys, которые не являются уязвимыми в плане доступа, но могут быть легко вооружены привилегированными злоумышленниками для проведения так называемой атаки "принеси свой собственный уязвимый драйвер" (BYOVD).
