Ricercatori hanno identificato 34 driver Windows vulnerabili, appartenenti al Windows Driver Model (WDM) e ai Windows Driver Frameworks (WDF), che potrebbero essere sfruttati da attori minacciosi non privilegiati per ottenere il pieno controllo dei dispositivi e eseguire codice arbitrario sui sistemi sottostanti.
Dettagli sulla vulnerabilità
Sfruttando questi driver, un attaccante senza privilegi potrebbe cancellare o alterare il firmware e/o elevare i privilegi del sistema operativo, come ha dichiarato Takahiro Haruyama, ricercatore senior presso VMware Carbon Black. La ricerca approfondisce studi precedenti, come ScrewedDrivers e POPKORN, che hanno utilizzato l’esecuzione simbolica per automatizzare la scoperta di driver vulnerabili. L’attenzione è rivolta in particolare ai driver che contengono l’accesso al firmware tramite I/O di porta e I/O mappato in memoria.
Tra i driver vulnerabili identificati ci sono AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys, RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys e TdkLib64.sys.
Sei dei 34 driver permettono l’accesso alla memoria del kernel che può essere abusato per elevare i privilegi e sconfiggere le soluzioni di sicurezza. Dodici dei driver potrebbero essere sfruttati per eludere meccanismi di sicurezza come la randomizzazione dello spazio degli indirizzi del kernel (KASLR). Sette driver, tra cui stdcdrv64.sys di Intel, possono essere utilizzati per cancellare il firmware nella memoria flash SPI, rendendo il sistema non avviabile. Intel ha successivamente rilasciato una correzione per il problema.
VMware ha anche identificato driver WDF come WDTKernel.sys e H2OFFT64.sys che non sono vulnerabili in termini di controllo degli accessi, ma possono essere facilmente armati da attori minacciosi privilegiati per effettuare un attacco denominato Bring Your Own Vulnerable Driver (BYOVD). Questa tecnica è stata utilizzata da vari avversari, tra cui il gruppo Lazarus legato alla Corea del Nord, per ottenere privilegi elevati e disabilitare il software di sicurezza in esecuzione su endpoint compromessi al fine di evitare il rilevamento.