34 modèles WDM et WDF vulnérables : Protégez vos appareils
Des experts en sécurité ont découvert un nombre important de pilotes Windows Driver Model (WDM) et Windows Driver Frameworks (WDF) présentant des vulnérabilités potentielles qui pourraient être exploitées par des acteurs malveillants. Ces pilotes, s'ils sont compromis, pourraient permettre à des attaquants sans accès privilégié de prendre le contrôle de dispositifs et d'exécuter du code non autorisé sur les systèmes concernés. Dans ce blog, nous allons nous pencher sur les points suivants modèles WDM et WDF vulnérablesDans ce blog, nous nous pencherons sur les détails des modèles WDM et WDF vulnérables, en explorant les risques potentiels et la manière de les atténuer.
Le risque d'un contrôle non autorisé des appareils
Le chercheur en sécurité Takahiro Haruyama de VMware Carbon Black a mis en lumière un problème critique. Les chercheurs en sécurité ont mis au jour une vulnérabilité critique qui peut conduire à une prise de contrôle des appareils dans divers systèmes. En exploitant ces pilotes vulnérables, les attaquants peuvent obtenir un accès non autorisé au micrologiciel et élever leurs privilèges dans le système d'exploitation. Cette découverte alarmante s'appuie sur des études antérieures, notamment ScrewedDrivers et POPKORN, qui ont utilisé l'exécution symbolique pour identifier systématiquement les points faibles des pilotes.
Focus sur les pilotes d'accès aux microprogrammes
Les experts en sécurité ont identifié une menace importante, où les attaquants peuvent parvenir à compromettre totalement l'appareilmettant potentiellement en danger des données sensibles. La recherche s'est principalement concentrée sur les pilotes qui fournissent un accès au micrologiciel par le biais d'entrées/sorties de port et d'entrées/sorties mappées en mémoire. Sur les 34 pilotes pilotes vulnérablesParmi les pilotes vulnérables identifiés, on peut citer
- AODDriver.sys
- ComputerZ.sys
- dellbios.sys
- GEDevDrv.sys
- GtcKmdfBs.sys
- IoAccess.sys
- kerneld.amd64
- Ngiodriver.sys
- Nvoclock.sys
- PDFWKRNL.sys (CVE-2023-20598)
- RadHwMgr.sys
- rtif.sys
- Rtport.sys
- stdcdrv64.sys
- TdkLib64.sys (CVE-2023-35841)
Vulnérabilités d'accès à la mémoire du noyau
Le fait que six des pilotes identifiés permettent l'accès à la mémoire du noyau est particulièrement préoccupant. Cela signifie que les attaquants pourraient élever leurs privilèges, contourner les solutions de sécurité, et potentiellement subvertir les mécanismes de sécurité tels que la randomisation de l'espace d'adressage du noyau (KASLR). Ces vulnérabilités sont donc plus que théoriques.
Risques de sécurité dans les modèles WDM et WDF
Ce qui est encore plus inquiétant, c'est que sept des pilotes identifiés, dont le stdcdrv64.sys d'Intel, peuvent être utilisés pour effacer le micrologiciel stocké dans la mémoire flash SPI. Une telle action peut rendre l'ensemble du système non amorçable, ce qui représente un risque important pour les données de l'utilisateur et les fonctionnalités du système. Heureusement, Intel a déjà publié un correctif pour résoudre ce problème.
Les modèles WDM et WDF sont vulnérables : Une menace potentielle
Sans se limiter aux pilotes WDM, certains pilotes WDF, comme WDTKernel.sys et H2OFFT64.sys, bien qu'ils ne soient pas intrinsèquement vulnérables en termes de contrôle d'accès, pourraient être utilisés par des acteurs privilégiés. Ils peuvent exploiter ces pilotes pour exécuter une attaque de type "Bring Your Own Vulnerable Driver" (BYOVD). Des groupes malveillants, dont le Lazarus Grouplié à la Corée du Nord, ont été observés en train d'utiliser cette technique pour obtenir des privilèges élevés, désactiver les logiciels de sécurité sur les terminaux compromis et éviter d'être détectés.
Extension du champ d'analyse
Takahiro Haruyama souligne que si la recherche actuelle se concentre principalement sur l'accès au micrologiciel, l'analyse pourrait facilement être étendue à d'autres vecteurs d'attaque. Par exemple, elle pourrait être étendue pour mettre fin à des processus arbitraires. Cela souligne la nature dynamique des vulnérabilités des pilotes, qui nécessite une vigilance constante pour maintenir la sécurité.
Protéger vos appareils
Il est essentiel de comprendre les risques potentiels posés par ces pilotes vulnérables pour se prémunir contre les vulnérabilités des périphériques de réseau. Voici quelques mesures à prendre pour protéger vos systèmes :
- Restez informé : Tenez-vous au courant des dernières alertes de sécurité et des correctifs pour vos pilotes et votre système d'exploitation.
- Mettez à jour vos pilotes : Mettez régulièrement à jour vos pilotes pour vous assurer que vous disposez des derniers correctifs de sécurité et des dernières corrections de bogues.
- Mettre en œuvre des solutions de sécurité : Utilisez un logiciel de sécurité fiable pour protéger vos appareils contre les menaces potentielles.
- Sauvegardez vos données : Sauvegardez régulièrement vos données importantes afin d'éviter toute perte de données en cas de défaillance du système.
- Soyez prudent : faites preuve de prudence lorsque vous téléchargez et installez des pilotes à partir de sources non vérifiées. Tenez-vous en aux sites web officiels et aux sources fiables.
- Signaler les vulnérabilités : Si vous découvrez des vulnérabilités potentielles au niveau des pilotes, signalez-les aux autorités compétentes ou aux fournisseurs afin d'améliorer la sécurité globale.
Conclusion
En conclusion, la découverte de modèles WDM et WDF vulnérables est un rappel brutal de l'évolution constante du paysage des menaces. La protection de vos appareils contre les menaces potentielles nécessite une approche proactive et vigilante. En restant informé, en mettant à jour vos pilotes et en mettant en œuvre des solutions de sécuritéde sécurité, vous pouvez réduire le risque que vos appareils soient victimes de ces vulnérabilités de sécurité. N'oubliez pas que la sécurité de votre appareil est entre vos mains, alors prenez les mesures nécessaires pour le protéger.
Les sources de cet article comprennent des articles dans The Hacker News et IS.PAGE.