Hasta 34 modelos de controladores de Windows vulnerables únicos (WDM) y marcos de controladores de Windows (WDF) los controladores podrían ser explotados por actores de amenazas sin privilegios para obtener el control total de los dispositivos y ejecutar código arbitrario en los sistemas subyacentes.
«Al explotar los controladores, un atacante sin privilegios puede borrar/alterar el firmware y/o elevar [operating system] privilegios», dijo Takahiro Haruyama, investigador senior de amenazas de VMware Carbon Black. dicho.
El investigación amplía estudios anteriores, como Controladores atornillados y palomitas de maíz que utilizó ejecución simbólica para automatizar el descubrimiento de conductores vulnerables. Se centra específicamente en controladores que contienen acceso al firmware a través de E/S de puerto y E/S asignadas en memoria.
Los nombres de algunos de los controladores vulnerables incluyen AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys y TdkLib64.sys (CVE-2023-35841).
De los 34 controladores, seis permiten el acceso a la memoria del kernel, de la que se puede abusar para elevar los privilegios y anular las soluciones de seguridad. Doce de los conductores podrían ser explotados para subvertir los mecanismos de seguridad como la aleatorización del diseño del espacio de direcciones del kernel (KASLR).
Siete de los controladores, incluido stdcdrv64.sys de Intel, se pueden utilizar para borrar el firmware en el memoria flash SPI, haciendo que el sistema no pueda iniciarse. Desde entonces, Intel ha publicado una solución para el problema.
VMware dijo que también identificó controladores WDF como WDTKernel.sys y H2OFFT64.sys que no son vulnerables en términos de control de acceso, pero que pueden ser utilizados trivialmente como armas por actores de amenazas privilegiados para llevar a cabo lo que se llama un ataque Bring Your Own Vulnerable Driver (BYOVD). .
La técnica ha sido empleada por varios adversarios, incluido el Grupo Lazarus vinculado a Corea del Norte, como una forma de obtener privilegios elevados y desactivar el software de seguridad que se ejecuta en puntos finales comprometidos para evadir la detección.
«El alcance actual de las API/instrucciones a las que se dirige la [IDAPython script for automating static code analysis of x64 vulnerable drivers] es limitado y sólo se limita al acceso al firmware», afirmó Haruyama.
«Sin embargo, es fácil ampliar el código para cubrir otros vectores de ataque (por ejemplo, finalizar procesos arbitrarios)».