超过40个驱动程序可以让黑客在Windows PC上安装持久后门

一组安全研究人员在至少20家不同供应商的40多个驱动程序中发现了高风险安全漏洞，这些漏洞可能使攻击者获得系统的最高权限，并隐藏恶意软件，但随着时间的推移，有时会持续数年。

对于复杂的攻击者来说，在破坏系统后保持持久性是最重要的任务之一，为了实现这一点，现有的硬件漏洞有时起着重要作用。
其中一个组件是设备驱动程序，通常称为驱动程序或硬件驱动程序，这是一种软件程序，用于控制特定类型的硬件设备，帮助其与计算机的操作系统正确通信。

由于设备驱动程序位于硬件和操作系统本身之间，并且在大多数情况下具有对操作系统内核的特权访问，因此该组件中的安全弱点可能会导致在内核层执行代码。

如图所示，这种权限提升攻击可以将攻击者从用户模式（环3）移动到操作系统内核模式（环0），从而允许他们在系统中安装用户可能永远不会意识到的持久后门。
固件和硬件安全公司Eclypsium的研究人员发现，一些新的漏洞可能允许对内核内存、模型特定寄存器（MSR）、控制寄存器（CR）、调试寄存器（DR）和物理内存进行任意读/写。

研究人员在题为“安全”的报告中解释说：“所有这些漏洞都允许驱动程序充当代理，以执行对硬件资源的高度特权访问，这可能使攻击者将用于管理系统的工具变成强大的威胁，从而使特权升级，并在主机上无形地持续存在。”司机。”

“访问内核不仅可以让攻击者获得操作系统可用的最高权限，还可以授予攻击者访问硬件和固件接口的更高权限，例如系统BIOS固件”。

由于在用户空间中运行的恶意软件可以简单地扫描受攻击机器上的易受攻击的驱动程序以破坏它，攻击者不必安装自己的易受攻击的驱动程序，否则安装该驱动程序需要系统管理员权限。
研究人员发现的所有易受攻击的驱动程序（如下所列）均已通过微软认证。

• 美国大趋势国际（AMI）
• 阿斯洛克
• 华硕电脑
• ATI技术公司（AMD）
• 映泰
• 埃夫加
• 吉达电通
• 千兆字节
• 华为
• 台湾系微
• 情报
• 微星国际（MSI）
• 英伟达
• 凤凰科技
• 瑞昱半导体
• 超显微
• 东芝

该名单还包括另外三家硬件供应商，但研究人员尚未提及，因为它们“由于在高度监管的环境中工作，仍处于禁运状态，需要更长的时间才能获得修复认证并准备部署到客户手中”

“一些易受攻击的驱动程序与图形卡、网络适配器、硬盘和其他设备交互，”研究人员解释道。“这些设备中的持久性恶意软件可以读取、写入或重定向通过网络存储、显示或发送的数据。同样，作为DoS或勒索软件攻击的一部分，任何组件都可能被禁用”。

研究人员向受影响的供应商报告了这些漏洞，包括英特尔和华为在内的一些供应商已经发布了补丁更新，并发布了安全建议。

除此之外，研究人员还承诺不久将在GitHub上发布一个脚本，帮助用户找到安装在系统上的虫洞驱动程序，以及概念验证代码、视频演示，以及指向易受攻击的驱动程序和工具的链接。