AMD、Intel、NVIDIA驱动程序发现严重漏洞数百万用户或面临恶意软件提权风险

自去年爆出了多个处理器潜在的安全漏洞，因为这一年，特别是Meltown、Spectre及Foreshadow三大漏洞及其衍生出来的多个变种，不论是个人还是企业都面临着严峻的漏洞威胁，网络安全公司Eclypsium的研究人员在日前分享了一个称为「SCREWED DRIVERS」的安全漏洞调查结果，显示来自20家硬件供应商的40多个不同驱动程序包含的代码包含缺陷，可能被利用来加剧特权攻击升级，名单上的包括了Intel、AMD、NVIDIA、华为、Toshiba等大型公司，更令人担忧的是，所有这些驱动程序都经过Microsoft认证。

根据Eclypsium最新的调查报告提到：「最新发展的漏洞名为 SCREWED DRIVERS ，所有这些漏洞都允许驱动程序充当代理，以执行对硬件资源的高权限访问，例如对处理器和晶片组I/O空间的读写访问，Model Specific Registers（MSR）模型特定寄存器、Control Registers（CR）控制寄存器、Debug Registers（DR）调试寄存器、Physical memory物理內存及Kernel virtual memory内核虚拟內存，从而实现权限提升，因为它可以将攻击者从用户模式（Ring 3）移动到OS内核模式（Ring 0）。」

如上图所示，攻击者能够从用户模式（Ring 3）提权至操作系统的内核模式（Ring 0），这样恶意软件就会拥有更多的权限，而驱动程序中的漏洞会使恶意软件较为轻松获取高等级的权限，还可以授予对具有更高权限（如系统BIOS固件）的硬件及固件接口。由于驱动程序通常是更新固件的一部份，因此驱动程序不仅获得必要的高权限，还可以取得进行更改的机制。换句话说，恶意软件可以扫描受害用户系统上较易受攻击的驱动程序，然后使用它来获得对系统和底层固件的完全控制。

Eclypsium亦展示了如Slingshot攻击、LoJax恶意软件等方式攻击驱动或固件。如LoJax恶意软件可向受害设备的固件中安装恶意软件，并在整个操作系统安装过程中持续存在。这些设备中的持久性恶意软件可以读取、写入或重新定向，并通过网络储存、显示或发送的数据。

研究人员发现，多间BIOS供应商包括Intel、AMD、NVIDIA、华为、Toshiba等驱动程序都存在这个严重漏洞（列表如下），然而所有不安全的驱动程序都是由有效的证书颁发机构签署并经过Microsoft认证。 

．American Megatrends International (AMI)

．ASRock

．ASUSTeK Computer

．ATI Technologies (AMD)

．Biostar

．EVGA

．Getac

．GIGABYTE

．Huawei

．Insyde

．Intel

．Micro-Star International (MSI)

．NVIDIA

．Phoenix Technologies

．Realtek Semiconductor

．SuperMicro

．Toshiba

Eclypsium表示，这些驱动可以影响所有版本的Windows，这意味着至少数百万Windows用户面临着安全风险，因为这些驱动运行恶意应用程序在用户级别获得内核权限，从而可以直接访问固件和硬件，并强调恶意软件可以通过这些驱动直接安装到固件中，因此重装系统甚至都可能无法彻底解决问题。

如果系统中已存在易受攻击的驱动程序，则恶意应用程序只需利用它获取权限。如果电脑中不存在这些驱动程序，恶意应用程序可能会自带驱动引导用户安装，但需要管理员批准才能安装它们。

对此，Microsoft建议用户可以利用Windows Defender来阻止未知来源的软件和驱动程序。

暴走电脑www.baozougouwu.com总结：自去年爆出了多个处理器潜在的安全漏洞，因为这一年，特别是Meltown、Spectre及Foreshadow三大漏洞及其衍生出来的多个变种，不论是个人还是企业都面临着严峻的漏洞威胁，网络安全公司...欢迎把本文分享给你的朋友：https://www.baozougouwu.com/article/4693.html 点此投稿