Hatalı Sürücü Kodlaması / Windows'u Kötü Amaçlı Yazılım Risklerine Maruz Bırakıyor

20 farklı donanım satıcısının neden olduğu çok sayıda sürücü tasarımı hatası, Microsoft Windows kullanıcılarına sürekli kötü amaçlı yazılım saldırılarına neden olabilecek yaygın güvenlik tehlikelerine maruz kalmaktadır.

Hatalı Sürücü Kodlaması / Windows'u Kötü Amaçlı Yazılım Risklerine Maruz Bırakıyor
Hatalı Sürücü Kodlaması / Windows'u Kötü Amaçlı Yazılım Risklerine Maruz Bırakıyor

Eclypsium güvenlik araştırmacılarının geçen hafta DEF CON’da sunduğu "Vidalı Sürücüler" başlıklı bir raporda , Microsoft’u bu güvenlik açığı sınıfına karşı daha iyi koruma için çözümleri desteklemesi istenmektedir.

Microsoft, bilinen kötü sürücüleri kara listeye alması gerektiğini önerir.

Güvensiz sürücüler sorunu yaygındır, Eclypsium araştırmacıları, Windows işletim sisteminin uzun vadeli güvenliğini tehdit eden en az 20 farklı üreticiden 40'tan fazla sürücünün bulunduğunu tespit etti.

Tasarım hataları, rapora göre donanım satıcıları Asus, Toshiba, Nvidia ve Huawei dahil olmak üzere her büyük BIOS satıcısının sürücülerinde mevcut.

Araştırma ekibi, saldırganların cihazlarda güvensiz yazılım sürücülerini nasıl kötüye kullanabildiklerini içeren devam eden bir donanım ve ürün yazılımı güvenlik araştırması yaparken kodlama sorunlarını ve daha geniş etkilerini keşfetti.

Eclypsium'un baş araştırmacısı Mickey Shkatov, "Ana odak alanımız donanım ve ürün yazılımı güvenliği olduğundan, Windows ürün yazılımı güncelleme araçlarına bakmayı doğal olarak teşvik ettik" dedi.

E-Ticaret Times, “Bu araçları kullanılan sürücüleri keşfetme sürecine başladığımızda, bu sorunları gittikçe daha fazla bulmaya devam ettik” dedi.

Sürücü tasarımı hataları, saldırganların işletim sistemi çekirdek moduna erişebilmeleri için kullanıcı ayrıcalığını artırmalarına izin verir. Rapora göre, bu artış saldırganın sürücüyü bir vekil olarak kullanmasına izin vererek donanım kaynaklarına yüksek ayrıcalıklı erişim sağlamak için izin veriyor. İşlemci ve yonga seti G / Ç alanına, modele özgü yazmaçlara (MSR), kontrol kayıtlarına (CR), hata ayıklama kayıtlarına (DR), fiziksel belleğe ve çekirdek sanal belleğe okuma ve yazma erişimini açar.

Bir Microsoft sözcüsü, "Microsoft, güvenlik konusunda güçlü bir bağlılığa ve etkilenen aygıtların mümkün olan en kısa sürede araştırılması ve proaktif olarak güncellenmesine ilişkin kanıtlanmış bir sicile sahiptir. En iyi koruma için, Windows 10 ve Microsoft Edge tarayıcısını kullanmanızı öneririz." E-Ticaret Zamanları şirket temsilcisi Rachel Tougher.

 

Dikkat Ölçme

Microsoft'a göre, saldırganların önce savunmasız sürücülerden yararlanmak için bir bilgisayarı tehlikeye atması gerekiyor.

Bununla birlikte, sürücü tasarımındaki kusurlar durumu daha ciddi hale getirebilir, Eclypsium'un raporuna göre. Aslında bir bilgisayarın güvenliğini aşmayı kolaylaştırabilirler.

Örneğin, kullanıcı alanında çalışan kötü amaçlı yazılımlar, kurban makinesinde güvenlik açığı bulunan bir sürücüyü tarayabilir. Rapora göre, sistemi ve potansiyel olarak üretici yazılımı üzerinde tam kontrol elde etmenin bir yolu olarak kullanabilir.

Güvenlik açığı bulunan bir sürücü zaten sistemde değilse, güvenlik açığı bulunan bir sürücüyü yüklemek için yönetici ayrıcalığı gerekir. Yine de, ürün bilgisinin güncellenmesine, tanılamaların çalıştırılmasına veya bileşen üzerinde seçeneklerin özelleştirilmesine yardımcı olmak için sistem BIOS'una veya sistem bileşenlerine erişim sağlayan sürücüler, saldırganların bu araçları kullanma ayrıcalıklarını yükseltmek ve ana bilgisayarda görünmez bir şekilde devam etmek için kullanmalarına izin verebilir.

Bu güvenlik açığının azaltılmasına yardımcı olmak için, Windows kullanıcılarının Microsoft'a göre bilinen güvenlik açığı bulunan yazılımları ve sürücüleri engellemek için Windows Defender Uygulama Denetimi'ni uygulaması gerekir .

Microsoft ayrıca, yetenekli cihazlar için hafıza bütünlüğünü açarak kendilerini daha fazla koruyabileceklerini de belirtti.

 

Muhtemelen Düşük-Orta Risk

Güvenlik şirketleri, güvenlik açıklarına dayalı satış fırsatlarını teşvik ediyor. Eclypsium açıklamaları gibi raporlar, Enderle Grubunun baş analisti olan Rob Enderle, satış araçları ve sonuçların problemlerin üzerinde durması alışılmadık bir durum değil.

“Bu örnekte, birinin ayrıcalıkları yükseltmesine ve bir sistemi ele geçirmesine izin verebilecek savunmasız sürücüleri vurgulamaktadırlar. Genel olarak, saldırganın tehlikeye atılmış aygıttan girmesi gerekir ve bu, fiziksel olarak sahip olmaları gerektiği anlamına gelir. sisteme erişim ve erişimde, bir bilgisayarı tehlikeye atmak için yapabileceğiniz birçok şey var, "dedi.

Kullanıcının kötü amaçlı yazılım yüklemeye kandırılma olasılığı da vardır. Bu, bu sürücü güvenlik açığından yararlanabilir, ancak saldırganın, bu işi yapmak için önce güvenlik açığının orada olduğunu bilmesi gerekir.

Enderle, "İçinde bulunduğumuz düşmanca ortam ve devlet düzeyinde saldırganlar olduğu gerçeği göz önüne alındığında, herhangi bir güvenlik açığı bir endişe kaynağıdır" dedi. "Ancak, saldırı vektörü sarsılmış olduğundan ve etkili bir saldırı PC hakkında bilgi gerektirdiğinden, gerçek risk orta ila düşüktür."

Yetkili, sürücü güncellemelerinin hem bu güvenlik açıklarını gideren hem de zamanında uygulandığından emin olmaya kesinlikle değer.

 

Yaygın Etki

Sürücü tasarımı akışları, Microsoft Windows'un tüm modern sürümleri için geçerlidir. Şu anda rapora göre, bir Windows makinesinin bilinen bu kötü sürücülerden birini yüklemesini engellemek için evrensel bir mekanizma mevcut değil.

Windows Pro, Windows Enterprise ve Windows Server'a özgü grup ilkeleri ve diğer özellikler uygulamak, bir alt kullanıcı grubuna bir miktar koruma sağlayabilir. Araştırmacılar, kurulduktan sonra, bu sürücülerin özellikle güncellenmediği veya kaldırılmadıkları sürece bir aygıtta uzun süre kalabilir.

Zaten bir risk üzerine kurulmuş bir sisteme kurulmuş sürücüler değil. Kötü amaçlı yazılım, ayrıcalık artışını gerçekleştirmek ve donanıma doğrudan erişim sağlamak için sürücüler ekleyebilir;

Söz konusu sürücüler haydut değil ya da onaysız değil, işaret ettiler. Tüm sürücüler, geçerli Sertifika Yetkilileri tarafından imzalanan ve Microsoft tarafından onaylanan güvenilir üçüncü taraf satıcılardan gelir.

Rapora göre, hem Microsoft hem de üçüncü taraf satıcıların bu tür güvenlik açıkları konusunda daha dikkatli olmaları gerekecek.

 

İmzalama Yazılımı Her Zaman Güvenilir Değil

Kod imzalama sertifikaları, uygulamaları, sürücüleri ve yazılımı dijital olarak imzalamak için kullanılır. Bu süreç, son kullanıcıların Keyfactor güvenlik sorumlusu Chris Hickman'a göre, yayıncının gerçekliğini doğrulamasını sağlar , ancak imzalı yazılıma tam olarak güvenme riski vardır.

E-Commerce Times, “Fırsatçı siber saldırganlar, bir güvenlik yazılımı veya yazılım güncellemesi bir kullanıcının sistemine kurulduktan sonra patlayan kötü amaçlı yazılımlar yerleştiren, yazılım üreticileri arasında güvenlik açığı bulunan sertifikaları ve anahtarları tehlikeye atabilir. En büyük güvenlik riski yatıyor” dedi.

Hickman, Eclypsium'un yazılım sürücülerindeki kusurları tasarladığının keşfedilmesinde çok sayıda donanım üreticisi ve yazılım ortağı bulunduğunu, tehdit işletmelerine ve tüketici yazılımı kullanıcılarının karşılaştıklarına işaret ettiğini belirtti. Bu saldırı vektörü bu baharın Asus hack'üne benziyor.

"Saldırganlar, işletmeler standart - ve genellikle güvenilir - güncellemeler yaptıklarında kötü amaçlı yazılım ekleyip dağıtmak için kod ve sertifikalardan yararlanabilir" dedi.

Kod imzalama, kötü amaçlı yazılımın yazılıma dahil edilemeyeceğinin garantisi değildir. Hickman, kodun imzalanması ve kod sınama ve güvenlik açığı taraması gibi diğer adımların atılması gerektiğini söyledi.

Kod imzalandıktan sonra, içeriğe bakılmaksızın, kod imzalama sertifikası güvenilir bir kaynaktan alındığı sürece, imzalandığı gibi yüklenir. Bu nedenle, güvenlik ve kod imzalama sertifikalarının bakımı ve kontrolü, meşru kodun üretilmesini sağlayan diğer formlar kadar DevOps için de önemli olmalıdır.

 

Tepki ve Düzeltmeler

Shkatov'a göre, etkilenen tüm satıcılara Eclypsium'un güvenlik açıkları açıklamasını programlamasından 90 gün önce bildirildi.

Intel ve Huawei, Eclypsium'a herkese açık olarak tavsiye ve düzeltmeleri yayınladıklarını bildirdi. Phoenix ve Insyde, doğrudan son kullanıcılara yönelik düzeltmeleri yayınlamaz, ancak son kullanıcılara nihai dağıtım için OEM müşterilerine yönelik düzeltmeleri yayımladı.

Shkatov, "İki satıcı tarafından piyasaya sürülecek düzeltmeler bize bildirildi, ancak henüz belirli bir zaman çizelgesine sahip değiliz." Dedi. "Sekiz satıcı bizim danışmanlığımızın alındığını kabul etti, ancak yamalar yayınlanacak mı, yoksa onlar için zaman çizelgesi mi yayınlanacağını duymadık. Beş satıcı hiç cevap vermedi."