34 WDM- und WDF-Modelle verwundbar: Schützen Sie Ihre Geräte
Sicherheitsexperten haben eine beträchtliche Anzahl von Windows Driver Model (WDM)- und Windows Driver Frameworks (WDF)-Treibern mit potenziellen Schwachstellen aufgedeckt, die von böswilligen Akteuren ausgenutzt werden könnten. Wenn diese Treiber kompromittiert werden, könnten Angreifer ohne privilegierten Zugang die Kontrolle über Geräte übernehmen und unautorisierten Code auszuführen auf den betroffenen Systemen auszuführen. In diesem Blog gehen wir auf die folgenden Details ein WDM- und WDF-Modelle anfälligdie potenziellen Risiken und wie man sie abmildern kann.
Das Risiko einer nicht autorisierten Gerätekontrolle
Der Sicherheitsforscher Takahiro Haruyama von VMware Carbon Black hat ein kritisches Problem ans Licht gebracht. Die Sicherheitsforscher Sicherheitsforscher haben eine kritische Schwachstelle aufgedeckt, die zur möglichen Geräteübernahme in verschiedenen Systemen führt. Durch Ausnutzung dieser anfälligen Treiber können Angreifer unbefugten Zugriff auf die Firmware erlangen und ihre Privilegien innerhalb des Betriebssystems erhöhen. Diese alarmierende Entdeckung stützt sich auf frühere Studien, darunter ScrewedDrivers und POPKORN, bei denen symbolische Ausführung eingesetzt wurde, um systematisch Schwachstellen in Treibern zu ermitteln.
Fokus auf Firmware-Zugriffstreiber
Die Sicherheitsexperten haben eine erhebliche Bedrohung festgestellt, bei der Angreifer ein Gerät vollständig kompromittierenund damit möglicherweise sensible Daten gefährden. Die Untersuchung konzentrierte sich in erster Linie auf Treiber, die den Zugriff auf die Firmware über Port-I/O und Memory-Mapped-I/O ermöglichen. Von den 34 identifizierten anfälligen Treibernsind unter anderem folgende zu nennen:
- AODDriver.sys
- ComputerZ.sys
- dellbios.sys
- GEDevDrv.sys
- GtcKmdfBs.sys
- IoAccess.sys
- kerneld.amd64
- Ngiodriver.sys
- Nvoclock.sys
- PDFWKRNL.sys (CVE-2023-20598)
- RadHwMgr.sys
- rtif.sys
- Rtport.sys
- stdcdrv64.sys
- TdkLib64.sys (CVE-2023-35841)
Schwachstellen beim Kernel-Speicherzugriff
Besonders bedenklich ist, dass sechs der identifizierten Treiber Zugriff auf den Kernel-Speicher gewähren. Dies bedeutet, dass Angreifer ihre Privilegien erhöhen, Sicherheitslösungen umgehen und möglicherweise Sicherheitsmechanismen wie die Kernel Address Space Layout Randomization (KASLR) unterlaufen könnten. Damit sind die Schwachstellen mehr als nur theoretisch.
Sicherheitsrisiken in WDM- und WDF-Modellen
Noch besorgniserregender ist, dass sieben der identifizierten Treiber, darunter Intels stdcdrv64.sys, zum Löschen der im SPI-Flash-Speicher gespeicherten Firmware verwendet werden können. Eine solche Aktion kann dazu führen, dass das gesamte System nicht mehr gebootet werden kann, was ein erhebliches Risiko für die Benutzerdaten und die Systemfunktionalität darstellt. Glücklicherweise hat Intel bereits eine Lösung für dieses Problem veröffentlicht.
WDM- und WDF-Modelle verwundbar: Eine potenzielle Bedrohung
Nicht nur WDM-Treiber, sondern auch bestimmte WDF-Treiber wie WDTKernel.sys und H2OFFT64.sys sind zwar in Bezug auf die Zugriffskontrolle nicht grundsätzlich anfällig, können aber von privilegierten Bedrohungsakteuren als Waffe eingesetzt werden. Sie können diese Treiber ausnutzen, um einen "Bring Your Own Vulnerable Driver"-Angriff (BYOVD) durchzuführen. Bösartige Gruppen, darunter die Lazarus-Gruppedie mit Nordkorea in Verbindung steht, wurden dabei beobachtet, wie sie diese Technik einsetzten, um erhöhte Rechte zu erlangen, Sicherheitssoftware auf kompromittierten Endgeräten zu deaktivieren und eine Entdeckung zu vermeiden.
Ausweitung des Analysebereichs
Takahiro Haruyama betont, dass sich die aktuelle Forschung zwar in erster Linie auf den Zugriff auf die Firmware konzentriert, die Analyse aber leicht auf andere Angriffsvektoren erweitert werden könnte. Zum Beispiel könnte sie auf das Beenden beliebiger Prozesse erweitert werden. Dies unterstreicht die dynamische Natur von Schwachstellen in Treibern, die eine ständige Wachsamkeit zur Aufrechterhaltung der Sicherheit erfordern.
Schutz für Ihre Geräte
Das Verständnis der potenziellen Risiken, die von diesen anfälligen Treibern ausgehen, ist entscheidend für den Schutz vor Schwachstellen von Netzwerkgeräten. Im Folgenden finden Sie einige Maßnahmen, die Sie zum Schutz Ihrer Systeme ergreifen können:
- Bleiben Sie auf dem Laufenden: Informieren Sie sich über die neuesten Sicherheitswarnungen und Patches für Ihre Treiber und Ihr Betriebssystem.
- Aktualisieren Sie Ihre Treiber: Aktualisieren Sie Ihre Treiber regelmäßig, um sicherzustellen, dass Sie über die neuesten Sicherheitspatches und Fehlerbehebungen verfügen.
- Implementieren Sie Sicherheitslösungen: Verwenden Sie zuverlässige Sicherheitssoftware, um Ihre Geräte vor potenziellen Bedrohungen zu schützen.
- Sichern Sie Ihre Daten: Erstellen Sie regelmäßig Sicherungskopien Ihrer wichtigen Daten, um einen Datenverlust im Falle eines Systemausfalls zu vermeiden.
- Seien Sie vorsichtig: Seien Sie vorsichtig beim Herunterladen und Installieren von Treibern aus nicht verifizierten Quellen. Halten Sie sich an offizielle Websites und vertrauenswürdige Quellen.
- Melden Sie Schwachstellen: Wenn Sie auf potenzielle Schwachstellen in Treibern stoßen, melden Sie diese den zuständigen Behörden oder Anbietern, um die allgemeine Sicherheit zu erhöhen.
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass die Entdeckung von anfälliger WDM- und WDF-Modelle ist eine deutliche Erinnerung an die sich ständig weiterentwickelnde Bedrohungslandschaft. Der Schutz Ihrer Geräte vor potenziellen Bedrohungen erfordert ein proaktives und wachsames Vorgehen. Bleiben Sie informiert, aktualisieren Sie Ihre Treiber und implementieren Sie Sicherheitslösungenkönnen Sie das Risiko verringern, dass Ihre Geräte diesen Sicherheitslücken zum Opfer fallen. Sicherheitsschwachstellen. Denken Sie daran, dass die Sicherheit Ihres Geräts in Ihren Händen liegt, also unternehmen Sie die notwendigen Schritte, um es zu schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und IS.PAGE.