Hơn 40 driver có thể cho phép hacker cài đặt backdoor trên PC

Hơn 40 driver có thể cho phép hacker cài đặt backdoor trên PC

August 12, 2019 | vietsunshine

Nếu bạn sở hữu một thiết bị hoặc một thành phần phần cứng, được sản xuất bởi ASUS, Toshiba, Intel, NVIDIA, Huawei hoặc 15 nhà cung cấp khác được liệt kê dưới đây, có thể bạn đã bị tấn công.

Một nhóm các nhà nghiên cứu bảo mật đã phát hiện ra các lỗ hổng bảo mật có rủi ro cao ở hơn 40 trình điều khiển (driver) từ ít nhất 20 nhà cung cấp khác nhau có thể cho phép kẻ tấn công giành được đặc quyền cao nhất trên hệ thống và che giấu phần mềm độc hại theo cách không bị phát hiện theo thời gian, đôi khi trong nhiều năm.

Đối với những kẻ tấn công tinh vi, duy trì sự bền bỉ sau khi xâm nhập một hệ thống là một trong những nhiệm vụ quan trọng nhất và để đạt được điều này, các lỗ hổng phần cứng hiện có đôi khi đóng một vai trò quan trọng.

Một thành phần như vậy là trình điều khiển thiết bị, thường được gọi là trình điều khiển hoặc trình điều khiển phần cứng, một chương trình phần mềm điều khiển một loại thiết bị phần cứng cụ thể, giúp nó giao tiếp với hệ điều hành của máy tính đúng cách.

Do trình điều khiển thiết bị nằm giữa phần cứng và chính hệ điều hành và trong hầu hết các trường hợp có quyền truy cập đặc quyền vào nhân hệ điều hành, điểm yếu bảo mật trong thành phần này có thể dẫn đến thực thi mã ở lớp nhân.

Cuộc tấn công leo thang đặc quyền này có thể di chuyển kẻ tấn công từ chế độ người dùng (Ring 3) sang chế độ kernel OS (Ring 0), như trong hình, cho phép họ cài đặt một backdoor hệ thống mà người dùng có thể không bao giờ nhận ra.

Hơn 40 driver có thể cho phép hacker cài đặt backdoor trên PC_2

Được phát hiện bởi các nhà nghiên cứu tại công ty bảo mật firmware và hardware Eclypsium, một số lỗ hổng mới có thể cho phép đọc/ghi tùy ý bộ nhớ kernel, các thanh ghi cụ thể theo mô hình (model-specific registers – MSR), Thanh ghi điều khiển (Control Registers – CR), Thanh ghi gỡ lỗi (Debug Registers – DR) và bộ nhớ vật lý.

“Tất cả các lỗ hổng này cho phép trình điều khiển hoạt động như một proxy để thực hiện quyền truy cập đặc quyền cao vào tài nguyên phần cứng, điều này có thể cho phép kẻ tấn công biến chính các công cụ được sử dụng để quản lý hệ thống thành các mối đe dọa mạnh mẽ có thể leo thang đặc quyền và tồn tại vô hình trên máy chủ, “các nhà nghiên cứu giải thích trong báo cáo của họ có tiêu đề Screwed Drivers.

“Truy cập vào kernel không chỉ có thể cung cấp cho kẻ tấn công quyền truy cập đặc quyền cao nhất có sẵn vào hệ điều hành, nó còn có thể cấp quyền truy cập vào các giao diện phần cứng và firmware với các đặc quyền cao hơn như phần sụn BIOS hệ thống.”

Vì phần mềm độc hại chạy trong không gian người dùng có thể chỉ cần quét trình điều khiển dễ bị tấn công trên máy nạn nhân để thỏa hiệp với nó, kẻ tấn công không phải cài đặt trình điều khiển dễ bị tổn thương của riêng chúng, cài đặt đòi hỏi phải có đặc quyền của quản trị viên hệ thống.

Tất cả các trình điều khiển dễ bị tổn thương, như được liệt kê dưới đây, được phát hiện bởi các nhà nghiên cứu, đã được chứng nhận bởi Microsoft.

  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

Danh sách này cũng bao gồm ba nhà cung cấp phần cứng nữa mà các nhà nghiên cứu chưa nêu tên, vì họ “làm việc trong môi trường có quy định cao và sẽ mất nhiều thời gian hơn để có bản sửa lỗi được chứng nhận và sẵn sàng triển khai cho khách hàng.”

“Một số trình điều khiển dễ bị tổn thương tương tác với card đồ họa, network adapters, hard drives và các thiết bị khác”, các nhà nghiên cứu giải thích. “Persistent malware bên trong các thiết bị này có thể đọc, ghi hoặc chuyển hướng dữ liệu được lưu trữ, hiển thị hoặc gửi qua mạng. Tương tự như vậy, bất kỳ thành phần nào cũng có thể bị vô hiệu hóa như một phần của cuộc tấn công DoS hoặc ransomware.”

Lỗi trình điều khiển thiết bị có thể nguy hiểm hơn các lỗ hổng ứng dụng khác vì nó cho phép kẻ tấn công truy cập vào các “negative” firmware nằm bên dưới hệ điều hành và duy trì sự bền bỉ trên thiết bị, ngay cả khi hệ điều hành được cài đặt lại hoàn toàn, giống như trong trường hợp phần mềm độc hại LoJax.

Các nhà nghiên cứu đã báo cáo các lỗ hổng này cho các nhà cung cấp bị ảnh hưởng, trong đó một số, bao gồm IntelHuawei, đã phát hành bản cập nhật bản vá và đưa ra một lời khuyên bảo mật.

Bên cạnh đó, các nhà nghiên cứu cũng hứa sẽ sớm phát hành một tập lệnh trên GitHub để giúp người dùng tìm thấy trình điều khiển wormhole được cài đặt trên hệ thống của họ, cùng với mã proof-of-concept, video demo và liên kết đến các trình điều khiển và công cụ dễ bị tấn công.

Nguồn: Over 40 Drivers Could Let Hackers Install Persistent Backdoor On Windows PCs

Tags: , ,