Araştırmacılar, Tam Cihaz Devralmaya Karşı Savunmasız 34 Windows Sürücüsü Buldu

34 adede kadar benzersiz güvenlik açığı bulunan Windows Sürücü Modeli (WDM) ve Windows Sürücü Çerçeveleri (WDF) sürücüsü, ayrıcalıklı olmayan tehdit aktörleri tarafından cihazların tam kontrolünü ele geçirmek ve temel sistemlerde rastgele kod yürütmek için kullanılabilir.

VMware Carbon Black'te kıdemli bir tehdit araştırmacısı olan Takahiro Haruyama, "Ayrıcalığı olmayan bir saldırgan, sürücüleri istismar ederek bellenimi silebilir/değiştirebilir ve/veya [işletim sistemi] ayrıcalıklarını yükseltebilir" dedi.

Araştırma, savunmasız sürücülerin keşfini otomatikleştirmek için sembolik yürütmeyi kullanan ScrewedDrivers ve POPKORN gibi önceki çalışmaları genişletiyor. Özellikle, bağlantı noktası G/Ç ve bellek eşlemeli G/Ç üzerinden bellenim erişimi içeren sürücülere odaklanır.

Güvenlik açığı bulunan sürücülerden bazılarının adları arasında AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys ve TdkLib64.sys yer alıyor (CVE-2023-35841).

34 sürücüden altısı, ayrıcalığı yükseltmek ve güvenlik çözümlerini yenmek için kötüye kullanılabilecek çekirdek bellek erişimine izin verir. Sürücülerin on ikisi, çekirdek adres alanı düzeni rasgele seçimi (KASLR) gibi güvenlik mekanizmalarını bozmak için kullanılabilir.

Intel'in stdcdrv64.sys'ü de dahil olmak üzere yedi sürücü, SPI flash bellekteki bellenimi silmek ve sistemi önyüklenemez hale getirmek için kullanılabilir. Intel o zamandan beri sorun için bir düzeltme yayınladı.

VMware.sys erişim kontrolü açısından savunmasız olmayan WDTKernel ve H2OFFT64.sys gibi WDF sürücülerini de tanımladığını, ancak ayrıcalıklı tehdit aktörleri tarafından Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı olarak adlandırılan şeyi gerçekleştirmek için önemsiz bir şekilde silahlandırılabileceğini söyledi.

Bu teknik, Kuzey Kore bağlantılı Lazarus Grubu da dahil olmak üzere çeşitli düşmanlar tarafından, tespit edilmekten kaçınmak için yüksek ayrıcalıklar elde etmenin ve güvenliği ihlal edilmiş uç noktalarda çalışan güvenlik yazılımlarını devre dışı bırakmanın bir yolu olarak kullanıldı.

Haruyama, "[x64 savunmasız sürücülerin statik kod analizini otomatikleştirmek için IDAPython komut dosyası] tarafından hedeflenen API'lerin/talimatların mevcut kapsamı dar ve yalnızca ürün yazılımı erişimiyle sınırlı" dedi.

"Ancak, kodu diğer saldırı vektörlerini kapsayacak şekilde genişletmek kolaydır (örneğin, keyfi süreçleri sonlandırmak)."