Изследователите по сигурността откриха нови уязвимости в повече от 40 драйвери, които са сертифицирани от Microsoft.

Проблемът е в кода на драйвера, който позволява комуникация между ядрото на ОС и хардуера, осигурявайки по-високо ниво на разрешение от обикновен потребител или администратор.

Уязвимостите на драйверите могат да засегнат милиони

Списъкът на засегнатите производители на хардуер включва огромни компании като Intel, Nvidia, Huawei, Toshiba и Asus. Ето как екипът на киберсигурността в Eclypsium, който намери уязвимостите, ги описва:

Всички тези уязвимости позволяват на драйвера да действа като прокси, за да осъществява високо привилегирован достъп до хардуерните ресурси, като достъп за четене и запис до входно-изходното пространство на процесор и чипс, специфични за модела регистри (MSR), контролни регистри (CR), отстраняване на грешки Регистри (DR), физическа памет и виртуална памет на ядрото. Това е ескалация на привилегиите, тъй като може да премести нападателя от потребителски режим (Ring 3) в режим на ядрото на OS (Ring 0). Концепцията на защитните пръстени е обобщена на изображението по-долу, където на всеки вътрешен пръстен се предоставя постепенно повече привилегия. Важно е да се отбележи, че дори администраторите работят на Ring 3 (и не по-дълбоко), наред с други потребители. Достъпът до ядрото може не само да даде на атакуващия най-привилегирования достъп до операционната система, но също така може да предостави достъп до хардуерните и фърмуер интерфейси с още по-високи привилегии, като фърмуера на системния BIOS.

Това означава, че дефектните драйвери биха могли да позволят на злонамерените приложения да получат привилегии на ядрото, засягайки пряко фърмуера и хардуера. Освен това, преинсталирането на ОС няма да реши проблема.

Такъв е случаят с фърмуера на BIOS и UEFI, който веднъж засегнат, не може да бъде поправен от преинсталиране на ОС.

Всички версии на Windows са засегнати

Заслужава да се спомене, че бяха засегнати над 40 драйвери и проблемът се отнася за всички версии на Windows, а не само за Windows 10.

Microsoft настоятелно съветва своите клиенти да използват Windows Defender Application Control, за да блокират непознат софтуер и да включат целостта на паметта за способни устройства в Windows Security.

Ето пълния списък на засегнатите доставчици:

• ASRock
• ASUSTeK Computer
• ATI Technologies (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Phoenix Technologies
• Realtek полупроводник
• Supermicro
• Toshiba

Някои от тях вече разполагат с поправки, но други все още са под ембарго.

За да запазите системата си, не забравяйте редовно да сканирате за остарели драйвери и да инсталирате най-новите корекции на драйвери от гореспоменатите производители.

За да ви помогнем, подготвихме ръководство за това как да актуализирате остарели драйвери, така че не забравяйте да го проверите.

ЧЕТЕТЕ СЪЩО:

• Как да: Актуализирате графичния драйвер на Windows 10
• 9 най-добрият антивирусен софтуер с криптиране, за да защитите вашите данни
• Microsoft Defender ATP е новото предлагане за сигурност на платформата на всички платформи