Ερευνητές που αναλύουν την ασφάλεια των drivers διαφόρων συσκευών των Windows διαπίστωσαν ότι πάνω από 40 hardware drivers από τουλάχιστον 20 κατασκευαστές μπορούν χρησιμοποιηθούν από επιτιθέμενους για να επιτύχουν κλιμάκωση προνομίων (privilege escalation).
Το hardware αντιπροσωπεύει τα δομικά στοιχεία ενός υπολογιστή πάνω στο οποίο τρέχει το λογισμικό. Οι οδηγοί (drivers) επιτρέπουν στο λειτουργικό σύστημα να αναγνωρίζει τα hardware εξαρτήματα.
Τα προγράμματα των drivers επιτρέπουν την επικοινωνία μεταξύ του πυρήνα του λειτουργικού συστήματος και του hardware, με υψηλότερο επίπεδο δικαιωμάτων από ένα κανονικό χρήστη αλλά και τον διαχειριστή του συστήματος.
Επομένως, τα τρωτά σημεία στα προγράμματα οδήγησης είναι ένα πολύ σοβαρό θέμα, καθώς θα μπορούν να χρησιμοποιηθούν από έναν χρήστη για να αποκτήσει πρόσβαση στον πυρήνα, αλλά και για να αποκτήσει υψηλότερα προνόμια στο λειτουργικό σύστημα (OS).
Τα προγράμματα οδήγησης χρησιμοποιούνται επίσης και για την ενημέρωση του firmware, οπότε το πρόβλημα φαίνεται να γίνεται ακόμα πιο σοβαρό.
Το firmware του BIOS και του UEFI, για παράδειγμα, είναι ένα λογισμικό χαμηλού επιπέδου που ξεκινάει πριν από το λειτουργικό σύστημα, όταν ενεργοποιείτε τον υπολογιστή σας. Ένα κακόβουλο λογισμικό που φυτεύεται στο BIOS ή το UEFI είναι αόρατο από τις περισσότερες εφαρμογές ασφάλειας και δεν μπορεί να αφαιρεθεί ακόμα κι αν εγκαταστήσετε ξανά τα Windows.
Ερευνητές από την εταιρεία Eclypsium ανακάλυψαν περισσότερους από 40 οδηγούς των Windows που θα μπορούσαν να χρησιμοποιηθούν από κακόβουλους χρήστες για να αποκτήσουν υψηλότερα δικαιώματα από ένα τυπικό χρήστη, αλλά και για να αποκτήσουν πρόσβαση στον πυρήνα των Windows.
Στις κατασκευάστριες εταιρείες που επηρεάζονται (δείτε την λίστα παρακάτω) συμπεριλαμβάνονται σημαντικοί προμηθευτές BIOS και μεγάλα ονόματα σε hardware υπολογιστών όπως η ASUS, η Toshiba, η Intel, η Gigabyte, η Nvidia και η Huawei.
Σύμφωνα με την Eclypsium:
Όλες αυτές οι ευπάθειες επιτρέπουν στο πρόγραμμα οδήγησης να ενεργεί σαν διακομιστής μεσολάβησης (proxy) παρέχοντας μια εξαιρετικά προνομιακή πρόσβαση στους πόρους του hardware, όπως πρόσβαση ανάγνωσης και εγγραφής στον επεξεργαστή και το chipset Ι/Ο, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), physical memory και kernel virtual memory.
Από τον πυρήνα, ο εισβολέας μπορεί να αποκτήσει πρόσβαση σε διάφορες διασυνδέσεις firmware και hardware, αποκτώντας ουσιαστικά δικαιώματα συστήματος στον υπολογιστή του θύματος. Μπορεί δεν να παραμείνει αόρατος αφού δεν ανιχνεύεται από τα κανονικά προϊόντα προστασίας, τα οποία λειτουργούν σε επίπεδο OS.
Η εγκατάσταση προγραμμάτων οδήγησης στα Windows απαιτεί δικαιώματα διαχειριστή και πρέπει να προέρχεται από πιστοποιημένες εταιρείες από τη Microsoft. Ο κώδικας του λογισμικού εγκατάστασης υπογράφεται επίσης από έγκυρα Certificate Authorities, για να αποδείξει την αυθεντικότητά του. Σε περίπτωση που δεν υπάρχει κάποια αξιόπιστη υπογραφή, τα Windows προειδοποιούν το χρήστη.
Ωστόσο, η έρευνα της Eclypsium αναφέρεται σε νόμιμους οδηγούς με έγκυρες υπογραφές που είναι αποδεκτές από τα Windows. Αυτά τα προγράμματα οδήγησης δεν είναι σχεδιασμένα να είναι κακόβουλα, αλλά περιέχουν ευπάθειες που μπορούν να καταστρατηγηθούν από κακόβουλους χρήστες.
Windows: Ο κίνδυνος δεν είναι υποθετικός
Οι επιθέσεις που εκμεταλλεύονται ευάλωτους οδηγούς δεν είναι θεωρητικές. Έχουν εντοπιστεί σε hacking ηλεκτρονικής κατασκοπείας που πραγματοποιούνται από hackers που συνήθως έχουν “πλάτες” κάποια μεγάλη εταιρεία ή κάποια κυβέρνηση.
Η ομάδα Slingshot APT χρησιμοποίησε ευάλωτους οδηγούς για να αποκτήσει υψηλότερα προνόμια σε μολυσμένους υπολογιστές. Το rootkit Lojax από την APT28 ήταν μια πολύ πιο ύπουλη επίθεση καθώς πρόσθετε το κακόβουλο λογισμικό στο firmware του UEFI μέσω ενός υπογεγραμμένου προγράμματος οδήγησης.
Όλες οι σύγχρονες εκδόσεις των Windows επηρεάζονται από αυτό το πρόβλημα και δεν υπάρχει κάποιος μηχανισμός για την αποτροπή του.
Παρακάτω υπάρχει μια λίστα με τις επηρεαζόμενες εταιρείες: