34 kadar benzersiz Windows Sürücü Modeli (WDM) ve Windows Sürücü Çerçevesi (WDF) sürücüsü, ayrıcalıklı olmayan tehdit aktörleri tarafından cihazların tam kontrolünü ele geçirmek ve temel sistemlerde rastgele kod yürütmek için kullanılabilir.
“Ayrıcalığı olmayan bir saldırgan, sürücüleri kullanarak aygıt yazılımını silebilir/değiştirebilir ve/veya donanım yazılımını yükseltebilir [operating system] ayrıcalıklar”, VMware Carbon Black’in kıdemli tehdit araştırmacısı Takahiro Haruyama, söz konusu.
Araştırma, savunmasız sürücülerin keşfedilmesini otomatikleştirmek için sembolik yürütmeyi kullanan ScrewedDrivers ve POPKORN gibi önceki çalışmaları genişletiyor. Özellikle bağlantı noktası G/Ç ve bellek eşlemeli G/Ç aracılığıyla ürün yazılımı erişimi içeren sürücülere odaklanır.
Güvenlik açığı bulunan sürücülerden bazılarının adları arasında AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE) bulunmaktadır. -2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys ve TdkLib64.sys (CVE-2023-35841).
34 sürücüden altısı, ayrıcalığı yükseltmek ve güvenlik çözümlerini alt etmek için kötüye kullanılabilecek çekirdek belleği erişimine izin veriyor. Sürücülerden on ikisinden, çekirdek adres alanı düzeni rastgeleleştirmesi (KASLR) gibi güvenlik mekanizmalarını bozmak için yararlanılabilir.
Intel’in stdcdrv64.sys dosyası da dahil olmak üzere sürücülerden yedisi, SPI flash belleğindeki ürün yazılımını silmek ve sistemi yeniden başlatılamaz hale getirmek için kullanılabilir. Intel o zamandan beri soruna yönelik bir düzeltme yayınladı.
VMware ayrıca erişim kontrolü açısından savunmasız olmayan ancak ayrıcalıklı tehdit aktörleri tarafından Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı olarak adlandırılan saldırıyı gerçekleştirmek için önemsiz bir şekilde silah haline getirilebilecek WDTKernel.sys ve H2OFFT64.sys gibi WDF sürücülerini de tanımladığını söyledi. .
Bu teknik, Kuzey Kore bağlantılı Lazarus Grubu da dahil olmak üzere çeşitli rakipler tarafından, yüksek ayrıcalıklar elde etmenin ve tespit edilmekten kaçınmak için tehlikeye atılmış uç noktalarda çalışan güvenlik yazılımlarını devre dışı bırakmanın bir yolu olarak kullanıldı.
“Tarafından hedeflenen API’lerin/talimatların mevcut kapsamı [IDAPython script for automating static code analysis of x64 vulnerable drivers] Haruyama, dar ve yalnızca ürün yazılımı erişimiyle sınırlı olduğunu söyledi.
“Ancak kodu diğer saldırı vektörlerini kapsayacak şekilde genişletmek kolaydır (örn. keyfi süreçlerin sonlandırılması).”