受影响的供应商包括英特尔,AMD,NVIDIA,华擎,AMI,技嘉,Realtek,华为等。
在今天拉斯维加斯举行的DEF CON 27安全会议上,来自Eclypsium的安全研究人员谈到了他们在来自20个不同硬件供应商的40多个内核驱动程序中发现的常见设计缺陷。
常见的设计缺陷是,低权限应用程序可以使用合法的驱动程序功能在Windows操作系统的最敏感区域(如Windows内核)中执行恶意操作。
“有许多硬件资源通常只能由特权软件(如Windows内核)访问,并且需要保护其免受来自用户空间应用程序的恶意读/写,”Eclypsium首席研究员Mickey Shkatov在早些时候的一封电子邮件中告诉ZDNet周。
“当签名驱动程序提供的功能可被用户空间应用程序滥用以执行这些敏感资源的任意读/写而没有任何限制或来自Microsoft的检查时,设计缺陷表面,”他补充道。
Shkatov指责他在不良编码实践中发现的问题,这些问题不考虑安全性。
“这是一种常见的软件设计反模式,而不是让驱动程序只执行特定任务,而是以灵活的方式编写代表用户空间执行任意操作,”他告诉ZDNet。
“通过这种方式构建驱动程序和应用程序来开发软件更容易,但它会打开系统进行利用。”
受影响的供应商
Shkatov表示,他的公司已通知每个硬件供应商,这些供应商正在提供允许用户空间应用程序运行内核代码的驱动程序。发布更新的供应商列在下面。
●美国大趋势国际(AMI)
●华擎
●ASUSTeK计算机
●ATI Technologies(AMD)
●映泰
●EVGA
●Getac
●技嘉
●华为
●Insyde
●英特尔
●微星国际(MSI)
●NVIDIA
●Phoenix Technologies
●Realtek Semiconductor
●SuperMicro
●东芝
“一些供应商,如英特尔和华为,已经发布了更新。一些像凤凰城和Insyde这样的IBV [独立BIOS供应商]正在向他们的客户OEM发布他们的更新,”Shkatov告诉ZDNet。
据报道,Eclypsium研究员表示,他没有透露所有受影响的供应商的名称,因为有些“由于特殊情况需要额外的时间”,未来将会发布未来的修复和建议。
Eclypsium研究员表示,他计划在演讲结束后在GitHub上发布受影响的驱动程序及其哈希列表,以便用户和管理员可以阻止受影响的驱动程序。
