首页 科技 电脑 手机 安卓 苹果 VR 站长 游戏

您的位置:咪哚网 > 科技 > 通信 >

研究发现超过40个Windows设备驱动程序包含提升权限的漏洞

咪哚网(www.midoo.cc)时间:2019-08-12 08:47 稿源:网络 手机扫描分享

受影响的公司名单包括主要的BIOS供应商以及华硕,华为,英特尔,NVIDIA和东芝等硬件制造商。 Eclypsium还提醒说,这些驱动程序会影响所有版本的Windows,这意味着数百万用户可能面临风险。

这些驱动程序造成的风险是它们可能允许用户级别的恶意应用程序获得内核权限,从而直接访问固件和硬件本身。这也可能意味着恶意软件可以直接安装到固件中,因此,即使重新安装操作系统也不足以摆脱它。

Eclypsium解释了这些漏洞的的问题来源:

所有这些漏洞都允许驱动程序充当代理,以执行对硬件资源的高权限访问,例如对处理器和芯片组I/O空间的读写访问,模型特定寄存器(MSR),控制寄存器(CR),调试寄存器(DR),物理内存和内核虚拟内存,从而实现权限提升,因为它可以将攻击者从用户模式(Ring 3)移动到OS内核模式(Ring 0)。保护环的概念总结在下图中,其中每个内环被逐渐授予更多特权。值得注意的是,即使是管理员也可以与其他用户一起在Ring 3(并且没有更深层次)进行操作。访问内核不仅可以为攻击者提供操作系统可用的最高权限访问权限,还可以授予对具有更高权限(如系统BIOS固件)的硬件和固件接口的访问权限。

研究发现超过40个Windows设备驱动程序包含提升权限的漏洞

由于驱动程序通常是更新固件的手段,“驱动程序不仅提供必要的权限,还提供进行更改的机制,”Eclypsium指出。如果系统中已存在易受攻击的驱动程序,则恶意应用程序只需搜索它以提升权限。但是,如果驱动程序不存在,恶意应用程序可能会带驱动程序,但需要管理员批准才能安装驱动程序。

Eclypsium的首席研究员Mickey Shkatov在给ZDNet的一份声明中指出,“微软将使用其HVCI(虚拟机管理程序强制执行的代码完整性)功能,将报告给他们的驱动程序列入黑名单。”但是,该功能仅适用于第7代及更高版本的英特尔处理器,因此在旧CPU或甚至禁用HCVI的较新CPU的情况下需要手动卸载驱动程序。

微软进一步澄清:“为了利用易受攻击的驱动程序,攻击者需要已经破坏了计算机。”但是,这里的问题是,在上述特权级别表示中已经在Ring 3上破坏了系统的攻击者可以获得内核访问权限。

为了保护自己免受不良驱动因素的影响,微软建议用户使用“Windows Defender应用程序控制来阻止已知的易受攻击的软件和驱动程序”。它还表示,“客户可以通过为Windows安全中的功能强大的设备启用内存完整性来进一步保护自己。”

Eclypsium提供了一个完整的列表,列出了所有已经在其博客文章中更新过驱动程序的供应商,尽管他们注意到一些受影响的供应商尚未榜上有名,因为他们仍在努力提供修复。研究人员还会在GitHub上传一份受影响的驱动程序及其哈希列表,以便用户可以在他们的设备上手动禁用它们。

声明:
1、咪哚网所转载的稿件都会明确标注作者和来源,如您不希望被转载请及时与我们联系删除。
2、咪哚网的原创文章,请转载时务必注明文章作者和"来源:咪哚网",不尊重原创的行为咪哚网或将追究责任。
3、本站提供的图文仅供参考,不能作为任何咨询依据,专业问题请咨询专业人士,谨防受骗
标签
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:看不清?点击更换
最新评论

科技 娱乐 健康 国内 生命 天文 自然 科学

微软善于听取来自用户、IT人员和开发者的各种想法

据外媒报道,微软CEO萨蒂亚·纳德拉日前在

乐视危局 张艺谋王宝强等上亿投资或遭变故

在深陷欠款危机,贾跃亭自曝乐视资金链紧张

霜降天气渐冷 推荐4款最佳食疗

我国古代将霜降分为三候:“一候豺乃祭兽;

外媒:大陆博物馆文物众多 但最好的宝贝在台湾

新西兰stuff网站11月20日文章,原题:对首

为您推荐RECOMMEND

  • 返回
    顶部
     关于本站| 友情链接| 版权声明| 意见反馈| 不良信息举报| 联系我们| 网站导航

Copyright © 2016 咪哚网 版权所有.

MIDOO.CC, All Rights Reserved. 备案号:豫ICP备15012166号-2