Hơn 40 trình điều khiển (Drivers) có thể cho phép tin tặc cài đặt backdoor trên máy tính Windows

Nếu bạn đang sở hữu một thiết bị hoặc một phần cứng máy tính được sản xuất bởi ASUS, Toshiba, Intel, NVIDIA, Huawei, hoặc 15 nhà cung cấp thiết bị phần cứng dưới đây, nhiều khả năng bạn đang gặp nguy hiểm. Cụ thể, một nhóm các nhà nghiên cứu bảo mật mới đây đã phát hiện ra các lỗ hổng bảo mật có mức độ rủi ro cao tồn tại trong hơn 40 trình điều khiển (Drivers) từ ít nhất 20 nhà cung cấp khác nhau, có thể cho phép tin tặc chiếm quyền điều khiển cao nhất trong hệ thống và âm thầm lây nhiễm mã độc.

Hơn 40 trình điều khiển (Drivers) có thể cho phép tin tặc cài đặt backdoor trên máy tính Windows - CyberSec365.org

Theo đó, cuộc tấn công leo thang đặc quyền này có thể cho phép kẻ tấn công đang ở chế độ người dùng (Ring 3) sang chế độ Kernel OS (Ring 0), cho phép chúng cài đặt mã độc vào hệ thống mà người dùng không thể nào phát hiện ra.

Hơn 40 trình điều khiển (Drivers) có thể cho phép tin tặc cài đặt backdoor trên máy tính Windows - CyberSec365.org

Các lỗ hổng bảo mật này được phát hiện bởi Hãng bảo mật Firmware và HardWare Eclypsium, một số lỗ hổng có thể cho phép tin tặc đọc/ghi tùy ý lên bộ nhớ kernel, các thanh ghi theo mô hình (MSRs), Control Registers (CR), Debug Registers (DR), and bộ nhớ vật lý.

"All these vulnerabilities allow the driver to act as a proxy to perform highly privileged access to the hardware resources, which could allow attackers to turn the very tools used to manage a system into powerful threats that can escalate privileges and persist invisibly on the host," the researchers explain in their report titled 'Screwed Drivers.'
"Access to the kernel can not only give an attacker the most privileged access available to the operating system, it can also grant access to the hardware and firmware interfaces with even higher privileges such as the system BIOS firmware."

Hiện tại, tất cả các trình điều khiển nằm trong danh sách dưới đây đều đã được các nhà nghiên cứu phát hiện và được chứng nhận bởi Microsoft:

• American Megatrends International (AMI)
• ASRock
• ASUSTeK Computer
• ATI Technologies (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Phoenix Technologies
• Realtek Semiconductor
• SuperMicro
• Toshiba

Danh sách này vẫn còn 3 nhà cung cấp phần cứng nữa nhưng các nhà nghiên cứu chưa tiện nêu tên vì họ “làm việc trong môi trường có quy định cao và sẽ mất nhiều thời gian hơn để có bản sửa lỗi được chứng nhận và sẵn sàng triển khai cho khách hàng.”

Một số trình điều khiển bị ảnh hưởng tương tác trực tiếp với card đồ họa, card mạng, ổ cứng và các thiết bị khác. Do đó, khi mã độc được phát tán có thể đọc, ghi hoặc chuyển dữ liệu được lưu trữ qua mạng. 

Lỗi trình điều khiển thiết bị có thể nguy hiểm hơn các lỗ hổng ứng dụng khác vì nó cho phép kẻ tấn công truy cập vào các “negative” firmware nằm bên dưới hệ điều hành và duy trì sự bền bỉ trên thiết bị, ngay cả khi hệ điều hành được cài đặt lại hoàn toàn, giống như trong trường hợp phần mềm độc hại LoJax.

Các nhà nghiên cứu đã báo cáo các lỗ hổng này cho các nhà cung cấp bị ảnh hưởng, trong đó một số, bao gồm Intel và Huawei, đã phát hành bản cập nhật bản vá và đưa ra một lời khuyên bảo mật.

Bên cạnh đó, các nhà nghiên cứu cũng hứa sẽ sớm phát hành một tập lệnh trên GitHub để giúp người dùng tìm thấy trình điều khiển wormhole được cài đặt trên hệ thống của họ, cùng với mã proof-of-concept, video demo và liên kết đến các trình điều khiển và công cụ dễ bị tấn công.

Nguồn: The Hacker News