WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Lỗ hổng trong Driver của Intel cho phép kẻ tấn công truy cập sâu vào thiết bị
Một lỗ hổng ảnh hưởng đến Driver được sử dụng rộng rãi của Intel cho phép các tác nhân độc hại truy cập sâu vào thiết bị.
Vào tháng 8, các nhà nghiên cứu của công ty bảo mật phần mềm Eclypsium đã xác định được các lỗ hổng nghiêm trọng trong hơn 40 trình điều khiển thiết bị từ 20 nhà cung cấp, bao gồm AMI, ASRock, ASUS, ATI, Biostar, EVGA, Getac, Gigabyte, Huawei, Insyde, Intel, MSI, NVIDIA, Phoenix Technologies, Realtek, SuperMicro và Toshiba.
Các lỗ hổng mà công ty phát hiện có thể bị khai thác bởi một phần mềm độc hại nhằm leo thang đặc quyền lên kernel mode, cho phép giành quyền kiểm soát cả hệ điều hành, phần cứng và giao diện firmware.
Trong số các nhà cung cấp được thông báo cho tới tháng 8, chỉ có Intel và Huawei phát hành các bản vá và khuyến cáo, Phoenix và Insyde cung cấp các bản sửa lỗi tới khách hàng OEM của họ.
Eclypsium cho rằng, trong tuần này Intel đã phát hành bản vá cho lỗ hổng trong PMx Driver (PMxDrv). Lỗ hổng ảnh hưởng tới PMx driver có nguy cơ nghiêm trọng do driver có thể đọc và ghi vào bộ nhớ vật lý, , các thanh ghi điều khiển, bảng mô tả IDT và GDT, và các register gỡ lỗi. Driver còn có thể có quyền truy cập I/O và PCI.
Mức truy cập này đủ để kẻ tấn công có thể giành quyền kiểm soát gần như toàn năng đối với thiết bị nạn nhân.
PMx là một trong những driver mạnh mẽ và phổ biến nhất cho tới nay. Driver được Intel cung cấp đi kèm với một công cụ có nhiệm vụ hỗ trợ các nhà cung cấp OEM và khách hàng của họ cập nhập BIOS của thiết bị. Công cụ này cũng được bao gồm trong bộ công cụ được phát hành để xử lý một số lỗ hổng trong công nghệ Intel.
Một cách để ngăn chặn các cuộc tấn công khai thác loại lỗ hổng này là sử dụng công nghệ toàn vẹn mã (HVCI) của Microsoft nhằm bảo vệ kernel của hệ điều hành. Tuy nhiên, công nghệ chỉ hoạt động với các bộ xử lý mới hơn.
Theo Eclypsium, lựa chọn tốt nhất nhằm ngăn chặn các cuộc tấn công là chặn hoặc đưa vào danh sách đen các trình điều khiển có vấn đề. Ví dụ, Insyde, một trong những công ty có trình điều khiển bị ảnh hưởng, đã tìm tới Microsoft và yêu cầu chặn các phiên bản trình điều khiển bị ảnh hưởng thông qua Window Defender. Insyde là nhà cung cấp duy nhất thực hiện điều này.
Vào tháng 8, các nhà nghiên cứu của công ty bảo mật phần mềm Eclypsium đã xác định được các lỗ hổng nghiêm trọng trong hơn 40 trình điều khiển thiết bị từ 20 nhà cung cấp, bao gồm AMI, ASRock, ASUS, ATI, Biostar, EVGA, Getac, Gigabyte, Huawei, Insyde, Intel, MSI, NVIDIA, Phoenix Technologies, Realtek, SuperMicro và Toshiba.
Các lỗ hổng mà công ty phát hiện có thể bị khai thác bởi một phần mềm độc hại nhằm leo thang đặc quyền lên kernel mode, cho phép giành quyền kiểm soát cả hệ điều hành, phần cứng và giao diện firmware.
Trong số các nhà cung cấp được thông báo cho tới tháng 8, chỉ có Intel và Huawei phát hành các bản vá và khuyến cáo, Phoenix và Insyde cung cấp các bản sửa lỗi tới khách hàng OEM của họ.
Eclypsium cho rằng, trong tuần này Intel đã phát hành bản vá cho lỗ hổng trong PMx Driver (PMxDrv). Lỗ hổng ảnh hưởng tới PMx driver có nguy cơ nghiêm trọng do driver có thể đọc và ghi vào bộ nhớ vật lý, , các thanh ghi điều khiển, bảng mô tả IDT và GDT, và các register gỡ lỗi. Driver còn có thể có quyền truy cập I/O và PCI.
Mức truy cập này đủ để kẻ tấn công có thể giành quyền kiểm soát gần như toàn năng đối với thiết bị nạn nhân.
PMx là một trong những driver mạnh mẽ và phổ biến nhất cho tới nay. Driver được Intel cung cấp đi kèm với một công cụ có nhiệm vụ hỗ trợ các nhà cung cấp OEM và khách hàng của họ cập nhập BIOS của thiết bị. Công cụ này cũng được bao gồm trong bộ công cụ được phát hành để xử lý một số lỗ hổng trong công nghệ Intel.
Một cách để ngăn chặn các cuộc tấn công khai thác loại lỗ hổng này là sử dụng công nghệ toàn vẹn mã (HVCI) của Microsoft nhằm bảo vệ kernel của hệ điều hành. Tuy nhiên, công nghệ chỉ hoạt động với các bộ xử lý mới hơn.
Theo Eclypsium, lựa chọn tốt nhất nhằm ngăn chặn các cuộc tấn công là chặn hoặc đưa vào danh sách đen các trình điều khiển có vấn đề. Ví dụ, Insyde, một trong những công ty có trình điều khiển bị ảnh hưởng, đã tìm tới Microsoft và yêu cầu chặn các phiên bản trình điều khiển bị ảnh hưởng thông qua Window Defender. Insyde là nhà cung cấp duy nhất thực hiện điều này.
Theo Securityweek