Takahiro Hauryama, một nhà nghiên cứu bảo mật cấp cao tại VMware Carbon Black, đã phát hiện và ghi nhận 34 lỗ hổng trong trình điều khiển cho các thiết bị cũ trong Windows Driver Model (WDM) và Windows Driver Framework (WDF). Một số trong những lỗ hổng này thuộc về, nhưng không giới hạn ở, AMD, Intel, Nvidia, Dell và Phoenix Technologies.
Những lỗ hổng này tồn tại trong phần mềm, BIOS hoặc trình điều khiển hệ điều hành cho các thiết bị cũ, khiến hệ thống dễ bị tấn công theo nhiều cách khác nhau, cho phép kẻ tấn công chiếm quyền điều khiển hoàn toàn hệ thống. Kẻ tấn công có thể lợi dụng các lỗ hổng này để thêm mã độc hại, thay đổi đặc quyền hệ thống và xóa một số lệnh I/O.
Các nhà nghiên cứu đã cung cấp mã khai thác (proof-of-concept) để chứng minh tính nghiêm trọng của các lỗ hổng này. Họ cũng đã liên hệ với các nhà cung cấp phần mềm và phần cứng có liên quan để khắc phục sự cố.
Một trong những mã khai thác cho thấy một người dùng không đặc quyền có thể chạy cmd.exe với mức độ toàn vẹn hệ thống bằng cách khai thác Windows 11 có Hypervisor Protected Code Integrity (HVCI). Một mã khai thác khác cho thấy khả năng xóa firmware trên các nền tảng dựa trên Intel Apollo SoC bằng cách xóa 4kb đầu tiên của firmware trong bộ nhớ flash SPI. Một mã khai thác quan trọng khác cho thấy khả năng vô hiệu hóa khóa BIOS và Intel Boot Guard.
Cần lưu ý rằng một số trong những trình điều khiển này có chứng chỉ đã hết hạn, thậm chí một số đã bị thu hồi. Tuy nhiên, danh sách này cũng bao gồm các trình điều khiển có chứng chỉ đang hoạt động.
JPCERT/CC đang phối hợp với các nhà cung cấp để khắc phục sự cố. Vào thời điểm viết bài này, nhà sản xuất BIOS PC Phoenix Technologies và AMD đã được báo cáo là đã khắc phục các lỗ hổng trong hai trình điều khiển có chữ ký vẫn còn hiệu lực. Sau đó, Intel đã khắc phục lỗ hổng được tìm thấy trong tệp stdcdrv64.sys.
Michael Haag, nhà nghiên cứu bảo mật cấp cao tại Splunk, cũng đã thêm những phát hiện này vào trang web của mình. Trang web này liệt kê danh sách các trình điều khiển Windows có lỗ hổng cho phép thực thi mã độc hại. Brian Baskin cũng được ghi nhận là đã hỗ trợ nghiên cứu quan trọng này.
Kết luận:
Đây là một phát hiện nghiêm trọng, vì các lỗ hổng này có thể được khai thác bởi kẻ tấn công để chiếm quyền điều khiển hoàn toàn thiết bị Windows. Người dùng nên cập nhật trình điều khiển của họ lên phiên bản mới nhất để giảm thiểu rủi ro bị khai thác.
© newsliver.com. All Rights Reserved.