HƠN 40 TRÌNH ĐIỀU KHIỂN CÓ THỂ CHO PHÉP TIN TẶC CÀI ĐẶT CỬA HẬU LIÊN TỤC TRÊN PC WINDOWS

HƠN 40 TRÌNH ĐIỀU KHIỂN CÓ THỂ CHO PHÉP TIN TẶC CÀI ĐẶT CỬA HẬU LIÊN TỤC TRÊN PC WINDOWS

HƠN 40 TRÌNH ĐIỀU KHIỂN CÓ THỂ CHO PHÉP TIN TẶC CÀI ĐẶT CỬA HẬU LIÊN TỤC TRÊN PC WINDOWS
HƠN 40 TRÌNH ĐIỀU KHIỂN CÓ THỂ CHO PHÉP TIN TẶC CÀI ĐẶT CỬA HẬU LIÊN TỤC TRÊN PC WINDOWS

Nếu bạn sở hữu một thiết bị hoặc một thành phần phần cứng, được sản xuất bởi ASUS, Toshiba, Intel, NVIDIA, Huawei hoặc 15 nhà cung cấp khác được liệt kê dưới đây, có lẽ bạn đã bị lừa.

Một nhóm các nhà nghiên cứu bảo mật đã phát hiện ra các lỗ hổng bảo mật có rủi ro cao ở hơn 40 trình điều khiển từ ít nhất 20 nhà cung cấp khác nhau có thể cho phép kẻ tấn công giành được sự cho phép đặc quyền nhất trên hệ thống và che giấu phần mềm độc hại theo cách mà không bị phát hiện theo thời gian, đôi khi trong nhiều năm .

Đối với những kẻ tấn công tinh vi, duy trì sự bền bỉ sau khi thỏa hiệp một hệ thống là một trong những nhiệm vụ quan trọng nhất và để đạt được điều này, các lỗ hổng phần cứng hiện có đôi khi đóng một vai trò quan trọng.
Lỗi trình điều khiển thiết bị có thể nguy hiểm hơn các lỗ hổng ứng dụng khác vì nó cho phép kẻ tấn công truy cập vào các phần sụn "âm tính" nằm bên dưới hệ điều hành và duy trì sự bền bỉ trên thiết bị, ngay cả khi hệ điều hành được cài đặt lại hoàn toàn, giống như trong trường hợp của LoJax phần mềm độc hại .

Các nhà nghiên cứu đã báo cáo các lỗ hổng này cho các nhà cung cấp bị ảnh hưởng, trong đó một số, bao gồm Intel và Huawei , đã phát hành bản cập nhật bản vá và đưa ra một lời khuyên bảo mật.

Bên cạnh đó, các nhà nghiên cứu cũng hứa sẽ sớm phát hành một kịch bản trên GitHub điều đó sẽ giúp người dùng tìm thấy trình điều khiển worm worm được cài đặt trên hệ thống của họ, cùng với mã bằng chứng khái niệm, trình diễn video và liên kết đến các trình điều khiển và công cụ dễ bị tấn công.
Một thành phần như vậy là trình điều khiển thiết bị, thường được gọi là trình điều khiển hoặc trình điều khiển phần cứng, một chương trình phần mềm điều khiển một loại thiết bị phần cứng cụ thể, giúp nó giao tiếp với hệ điều hành của máy tính đúng cách.

Do trình điều khiển thiết bị nằm giữa phần cứng và chính hệ điều hành và trong hầu hết các trường hợp có quyền truy cập đặc quyền vào nhân hệ điều hành, điểm yếu bảo mật trong thành phần này có thể dẫn đến thực thi mã ở lớp nhân.

Cuộc tấn công leo thang đặc quyền này có thể di chuyển kẻ tấn công từ chế độ người dùng (Ring 3) sang chế độ kernel OS (Ring 0), như trong hình, cho phép chúng cài đặt một cửa hậu liên tục trong hệ thống mà người dùng có thể không bao giờ nhận ra.

Được phát hiện bởi các nhà nghiên cứu tại công ty bảo mật phần cứng và phần cứng Eclypsium, một số lỗ hổng mới có thể cho phép đọc / ghi tùy ý bộ nhớ kernel, các thanh ghi cụ thể theo mô hình (MSR), Thanh ghi điều khiển (CR), Thanh ghi gỡ lỗi (DR) và bộ nhớ vật lý .
 

"Tất cả các lỗ hổng này cho phép trình điều khiển hoạt động như một proxy để thực hiện quyền truy cập đặc quyền cao vào tài nguyên phần cứng, điều này có thể cho phép kẻ tấn công biến chính các công cụ được sử dụng để quản lý hệ thống thành các mối đe dọa mạnh mẽ có thể leo thang đặc quyền và tồn tại vô hình trên máy chủ, "các nhà nghiên cứu giải thích trong báo cáo của họ  có tiêu đề 'Trình điều khiển trục vít'.

"Truy cập vào kernel không chỉ có thể cung cấp cho kẻ tấn công quyền truy cập đặc quyền nhất có sẵn vào hệ điều hành, nó còn có thể cấp quyền truy cập vào các giao diện phần cứng và phần sụn với các đặc quyền cao hơn như phần sụn BIOS hệ thống."


Vì phần mềm độc hại chạy trong không gian người dùng có thể chỉ cần quét trình điều khiển dễ bị tấn công trên máy nạn nhân để thỏa hiệp với nó, kẻ tấn công không phải cài đặt trình điều khiển dễ bị tổn thương của riêng chúng, cài đặt đòi hỏi phải có đặc quyền của quản trị viên hệ thống.

Tất cả các trình điều khiển dễ bị tổn thương, như được liệt kê dưới đây, được phát hiện bởi các nhà nghiên cứu, đã được chứng nhận bởi Microsoft.
 

  • American Megatrends International (AMI)
  • HỎI
  • Máy tính ASUSTeK
  • Công nghệ ATI (AMD)
  • Sinh học
  • EVGA
  • Getac
  • GÓI
  • Huawei
  • Xưởng
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Công nghệ Phượng Hoàng
  • Bán dẫn Realtek
  • SuperMicro
  • Toshiba


Danh sách này cũng bao gồm ba nhà cung cấp phần cứng nữa mà các nhà nghiên cứu chưa nêu tên, vì họ "vẫn bị cấm vận do làm việc trong môi trường có quy định cao và sẽ mất nhiều thời gian hơn để có bản sửa lỗi được chứng nhận và sẵn sàng triển khai cho khách hàng."
 

"Một số trình điều khiển dễ bị tổn thương tương tác với card đồ họa, bộ điều hợp mạng, ổ cứng và các thiết bị khác", các nhà nghiên cứu giải thích. "Phần mềm độc hại dai dẳng bên trong các thiết bị này có thể đọc, ghi hoặc chuyển hướng dữ liệu được lưu trữ, hiển thị hoặc gửi qua mạng. Tương tự như vậy, bất kỳ thành phần nào cũng có thể bị vô hiệu hóa như một phần của cuộc tấn công DoS hoặc ransomware."

Lỗi trình điều khiển thiết bị có thể nguy hiểm hơn các lỗ hổng ứng dụng khác vì nó cho phép kẻ tấn công truy cập vào các phần sụn "âm tính" nằm bên dưới hệ điều hành và duy trì sự bền bỉ trên thiết bị, ngay cả khi hệ điều hành được cài đặt lại hoàn toàn, giống như trong trường hợp của LoJax phần mềm độc hại .

Các nhà nghiên cứu đã báo cáo các lỗ hổng này cho các nhà cung cấp bị ảnh hưởng, trong đó một số, bao gồm Intel và Huawei , đã phát hành bản cập nhật bản vá và đưa ra một lời khuyên bảo mật.

Bên cạnh đó, các nhà nghiên cứu cũng hứa sẽ sớm phát hành một kịch bản trên GitHub điều đó sẽ giúp người dùng tìm thấy trình điều khiển worm worm được cài đặt trên hệ thống của họ, cùng với mã bằng chứng khái niệm, trình diễn video và liên kết đến các trình điều khiển và công cụ dễ bị tấn công.