Jusqu’à 34 modèles de pilotes Windows vulnérables uniques (WDM) et les cadres de pilotes Windows (WDF) les pilotes pourraient être exploités par des acteurs malveillants non privilégiés pour prendre le contrôle total des appareils et exécuter du code arbitraire sur les systèmes sous-jacents.
« En exploitant les pilotes, un attaquant sans privilège peut effacer/altérer le micrologiciel et/ou élever [operating system] privilèges », Takahiro Haruyama, chercheur principal en menaces chez VMware Carbon Black, dit.
Le recherche développe des études antérieures, telles que Tournevis à vis et POP-CORN qui a utilisé exécution symbolique pour automatiser la découverte des pilotes vulnérables. Il se concentre spécifiquement sur les pilotes qui contiennent un accès au micrologiciel via les E/S de port et les E/S mappées en mémoire.
Les noms de certains des pilotes vulnérables incluent AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys et TdkLib64.sys (CVE-2023-35841).
Sur les 34 pilotes, six autorisent un accès à la mémoire du noyau qui peut être abusé pour élever les privilèges et déjouer les solutions de sécurité. Douze des pilotes pourraient être exploités pour renverser les mécanismes de sécurité comme la randomisation de la disposition de l’espace d’adressage du noyau (KASLR).
Sept des pilotes, dont stdcdrv64.sys d’Intel, peuvent être utilisés pour effacer le micrologiciel dans le Mémoire flash SPI, rendant le système impossible à démarrer. Intel a depuis publié un correctif pour le problème.
VMware a déclaré avoir également identifié des pilotes WDF tels que WDTKernel.sys et H2OFFT64.sys qui ne sont pas vulnérables en termes de contrôle d’accès, mais peuvent être trivialement utilisés par des acteurs malveillants privilégiés pour mener à bien ce qu’on appelle une attaque BYOVD (Bring Your Own Vulnerable Driver). .
Cette technique a été utilisée par divers adversaires, notamment le groupe Lazarus, lié à la Corée du Nord, comme moyen d’obtenir des privilèges élevés et de désactiver les logiciels de sécurité exécutés sur les points finaux compromis afin d’échapper à la détection.
« La portée actuelle des API/instructions ciblées par le [IDAPython script for automating static code analysis of x64 vulnerable drivers] est restreint et limité uniquement à l’accès au micrologiciel », a déclaré Haruyama.
« Cependant, il est facile d’étendre le code pour couvrir d’autres vecteurs d’attaque (par exemple, mettre fin à des processus arbitraires). »