نقص امنیتی در درایور کرنل ویندوز بیش از 20 تأمین کننده بزرگ
در کنفرانس امنیتی DEF CON که در لاس وگاس برگزار میشود، محققان حوزه امنیت شرکت Eclypsium در مورد نقصهای طراحی در بیش از 40 درایور کرنل شرکتهای مختلف تأمین کننده سختافزار صحبت کردند.
این نقص طراحی در واقع به برنامههایی با سطح دسترسی محدود اجازه میدهد با استفاده از کارکردهای قانونی و صحیح درایور، روی بخشهای حساس سیستم عامل ویندوز مثل کرنل آن، اقدامات مخربی به انجام برسانند.
به گفته «میکی شکاتوف» محقق ارشد Eclypsium:
برخی از منابع سختافزاری هستند که در حالت عادی فقط با نرمافزارهایی با سطح دسترسی بالا مثل کرنل ویندوز قابل دسترسی است و باید در مقابل خواندن/نوشتنهای مخرب توسط اپلیکیشنهای فضای کاربری محافظت شود.
این نقص طراحی زمانی ظاهر میشود که یک سری کارکردهایی توسط درایورهای قانونی ارائه میشود که میتواند توسط برنامههای فضای کاربری برای انجام خواندن/نوشتن اختیاری مورد سو استفاده قرار بگیرد. در این موارد هیچگونه ممانعت یا بررسی از طرف مایکروسافت هم انجام نمیگیرد.
این یک ضد الگوی رایج در طراحی نرمافزار است که به جای الزام درایور کرنل به انجام یک سری عملیات محدود، آن را به صورت انعطافپذیر توسه میدهند تا یک سری اعمال اختیاری را هم در فضای کاربری به انجام برساند. روش متداول کار طراحی نرمافزار را راحتتر میکند اما در عوض آن را برای بهرهبرداریهای مخرب بی دفاع میگذارد.
شکاتوف گفته که Eclypsium هرکدام از سازندگان سختافزار که درایورهای نامطمئن را عرضه میکردند در جریان این شکاف امنیتی قرار داده است. این لیست شامل کمپانیهای بزرگی مثل گیگابایت، هواوی، اینتل، انویدیا توشیبا و… میشود.
فعلا برخی از شرکتها مثل هواوی و اینتل آپدیتهایی برای این نقص ارائه کردهاند. شکاتوف همچنین اعلام کرده که لیست کامل درایورهای مذکور و هش آنها را در گیتهاب منتشر میکند.
علاوه بر این شکاتوف اعلام کرده که مایکروسافت از قابلیت HVCI یا همان Hypervisor-enforced Code Integrity برای بلکلیست کردن درایورهای کرنل گزارش شده در این لیست استفاده خواهد کرد. البته این قابلیت فقط در سیپییوهای نسل هفتم به بعد اینتل پشتیبانی میشود و برای سیستمهای قدیمیتر باید تنظیمات به صورت دستی انجام بگیرد.