Аналитический отдел по угрозам компании VMware, известный как Threat Analysis Unit (TAU), выявил34 уязвимых драйвера ядра, которые могут быть использованы для модификации прошивки и повышения уровня привилегий атакующими.
Эксплуатация драйверов ядра киберпреступниками и государственными хакерскими группировками не является редкостью. Такие драйверы могут дать возможность злоумышленникам манипулировать системными процессами, сохранять устойчивость в системе и обходить средства защиты.
Специалисты TAU проанализировали около 18 000 образцов драйверов Windows, собранных с помощью YARA-правила из базы данных VirusTotal. Исключив уже известные уязвимые драйверы, команда обнаружила несколько сотен хэшей файлов, связанных с 34 уникальными, ранее не известными уязвимыми драйверами.
Анализ затронул драйверы моделей Windows Driver Model (WDM) и Windows Driver Framework (WDF), и компания опубликовала список имён файлов, связанных с проблемными драйверами. Среди них есть продукция ведущих производителей BIOS, ПК и чипов.
Использование каждого из этих драйверов может позволить атакующим без системных привилегий получить полный контроль над целевым устройством.
“Злоумышленник, не обладающий системными привилегиями, может стереть или изменить прошивку и/или повысить привилегии, эксплуатируя уязвимые драйверы”, – говорится в блоге VMware.
Разработчики уязвимых драйверов были уведомлены весной 2023 года, однако только двое из них – Phoenix Technologies и Advanced Micro Devices (AMD) – устранили уязвимости.
VMware разработала PoC-эксплойты для нескольких уязвимых драйверов, чтобы показать, как их можно использовать для стирания прошивки или для повышения привилегий. Компания также предоставила скрипт IDAPython, который использовался для автоматизации поиска уязвимых драйверов WDM и WDF.