Mới đây, các nhà nghiên cứu phát hiện một số Windows driver chứa lỗ hổng dễ bị tấn công. Có tới 34 Windows Driver Model (WDM) và Windows Driver Frameworks (WDF) chứa lỗ hổng có thể bị khai thác để giành toàn quyền kiểm soát thiết bị và thực thi mã tùy ý trên các hệ thống.
Takahiro Haruyama, nhà nghiên cứu mối đe dọa tại VMware Carbon Black, cho biết: “Bằng cách khai thác trình điều khiển, kẻ tấn công không được phân quyền có thể xóa/thay đổi chương trình cơ bản và/hoặc nâng cao của hệ điều hành”.
Nghiên cứu này dựa trên các nghiên cứu trước đây, chẳng hạn như ScrewedDrivers và POPKORN đã sử dụng thực thi biểu tượng để tự động phát hiện các trình điều khiển dễ bị tấn công. Nó tập trung vào các trình điều khiển có chứa quyền truy cập chương trình cơ sở thông qua cổng I/O và I/O được ánh xạ bộ nhớ.
Tên của một số Windows driver dễ bị tấn công bao gồm: AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE) -2023-20598, RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys và TdkLib64.sys (CVE-2023-35841),
Trong số 34 trình điều khiển, 6 trình điều khiển cho phép truy cập bộ nhớ kernel có thể bị lạm dụng để đánh bại các giải pháp bảo mật. 12 trình điều khiển có thể bị khai thác để phá hoại các cơ chế bảo mật như ngẫu nhiên hóa bố cục không gian địa chỉ kernel (KASLR).
7 trình điều khiển, bao gồm stdcdrv64.sys của Intel, có thể được sử dụng để xóa các phần mềm trong bộ nhớ flash SPI, khiến hệ thống không thể khởi động được. Hiện tại, Intel đã đưa ra bản sửa lỗi cho vấn đề này.
VMware cho biết họ cũng xác định các trình điều khiển WDF như WDTKernel.sys và H2OFFT64.sys không dễ bị khai thác quyền truy cập, nhưng có thể bị lợi dụng cách thông thường để thực hiện các cuộc tấn công BYOVD – Bring Your Own Vulnerable Driver. (Kẻ tấn công sẽ gửi cho nạn nhân trình driver hợp lệ nhưng có chứa lỗ hổng bảo mật, thường là qua email độc hại hoặc các chiêu trò lừa đảo, để họ tự cài đặt. Từ đó nó sẽ vô hiệu hóa các chương trình bảo mật được cài đặt trên thiết bị của nạn nhân và chạy với đặc quyền hệ thống).
Kỹ thuật này đã được nhiều đối thủ khác nhau sử dụng, bao gồm cả Tập đoàn Lazarus có liên kết với Triều Tiên, như một cách để giành được các đặc quyền nâng cao và vô hiệu hóa phần mềm bảo mật chạy trên các thiết bị đầu cuối bị xâm nhập để tránh bị phát hiện.
Haruyama cho biết: “Phạm vi hiện tại của các API/hướng dẫn mà tập lệnh IDAPython để tự động hóa phân tích mã tĩnh của trình điều khiển dễ bị tấn công x64] nhắm đến là rất hẹp và chỉ giới hạn ở quyền truy cập chương trình cơ sở”.
“Tuy nhiên, phạm vi này dàng để mở rộng mã thực thi thông qua các vectơ tấn công khác (ví dụ như chấm dứt các quy trình tùy ý).”
Nghiên cứu của VMware Carbon Black cho thấy có một số đáng kể Windows Driver dễ bị khai thác và có thể bị lợi dụng để giành toàn quyền kiểm soát thiết bị.
Các nhà nghiên cứu khuyến nghị người dùng cập nhật các driver của mình lên phiên bản mới nhất để giảm thiểu rủi ro bị tấn công.