گروهی از پژوهشگران امنیتی در بیش از ۴۰ درایور مربوط به حداقل ۲۰ شرکت مختلف آسیبپذیریهای امنیتی با خطر بالا کشف کردهاند که به مهاجمان اجازه میدهد تا به بسیاری از مجوزها در سیستم دست یابند و بدافزار را به روشی که برای مدتها غیرقابل شناسایی باقی میماند، مخفی کنند. برای مهاجمان حرفهای، ماندگاری دربپشتی پس از آلودگی سیستم یکی از مهمترین کارها است و برای دستیابی به آن آسیبپذیریهای سختافزاری موجود نقش مهمی ایفا میکنند.
یکی از این مؤلفهها درایور دستگاه است که معمولاً بهعنوان یک درایور یا درایور سختافزاری و یا یک برنامهی نرمافزاری شناخته میشود که یک نوع خاصی از دستگاه سختافزاری را کنترل میکند و به آن کمک میکند تا بهدرستی با سیستم عامل رایانه ارتباط برقرار کند.
از آنجا که درایورهای دستگاه بین سختافزار و سیستم عامل قرار میگیرد و در بیشتر موارد دسترسی مجاز به هستهی سیستم عامل دارد، یک ضعف امنیتی در این رایانه میتواند منجر به اجرای کد در لایه ی هسته شود. این حملهی ارتقاء امتیاز میتواند یک مهاجم را از حالت کاربر به حالت هستهی سیستم عامل انتقال دهد، به آنها اجازه میدهد تا یک دربپشتی ماندگار در سیستم نصب کنند که کاربر هرگز متوجه آن نشود.
پژوهشگران شرکت امنیت سختافزار و میانافزار Eclypsium کشف کردند که برخی از این آسیبپذیریهای جدید امکان خواندن و نوشتن حافظهی هسته، Model-Specific Registers (MSRs)، Control Registers (CR)، Debug Registers (DR) و حافظهی فیزیکی را فراهم میکنند.
پژوهشگران تشریح کردند که همهی این آسیبپذیریها به درایور اجازه میدهند که مانند یک پروکسی عمل کند تا به منابع سختافزاری که به مهاجمان اجازه میدهند تا ابزارهای مورد استفاده برای مدیریت سیستم را به تهدیدهای قدرتمندی برای ارتقاء امتیاز و ماندگاری در میزبان تبدیل کنند، دسترسی سطح بالا پیدا کنند.
دسترسی به هسته نه تنها میتواند دسترسی مجاز به سیستم عامل را به یک مهاجم بدهد بلکه میتواند دسترسی به رابطهای سختافزار و میانافزار را با امتیازات سطح بالا اعطا کند. از آنجا که بدافزار درحال اجرا در فضای کاربر است میتواند بهسادگی درایور آسیبپذیر را در دستگاه قربانی جستجو کند تا آن را در معرض خطر قرار دهد و مهاجمان نیاز به نصب درایور آسیبپذیر خود ندارند زیرا نصب آن به امتیازات مدیر نیاز دارد.
همهی درایورهای آسیبپذیر کشفشده که در زیر فهرست شده، توسط مایکروسافت تأیید شده است:
- American Megatrends International (AML)
- ASRock
- ASUSTeK Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
این فهرست همچنین شامل سه شرکت سختافزاری دیگر است که پژوهشگران نامی از آنها ذکر نکردهاند.
برخی از درایورهای آسیبپذیر با کارتهای گرافیکی، آداپتورهای شبکه، حافظهها و سایر دستگاهها تعامل برقرار میکنند. بدافزار ماندگار در این دستگاهها میتواند دادهی ذخیرهشده، نمایش دادهشده و یا ارسالشده در شبکه را بخواند یا بنویسد و یا انتقال دهد. به همین ترتیب، هر یک از این مؤلفهها میتوانند بهعنوان یک حملهی باجافزاری یا حملهی منع سرویس غیرفعال شوند.
آسیبپذیریهای درایور دستگاه میتواند بسیار خطرناکتر از آسیبپذیریهای سایر برنامهها باشد. پژوهشگران این آسیبپذیریها را به شرکتهای مربوطه گزارش دادهاند و برخی از آنها از جمله اینتل و هوآوی بهروزرسانیهای وصله و یک مشاورهنامهی امنیتی منتشر کردند.
علاوهبراین، پژوهشگران قول دادهاند که بهزودی یک اسکریپت به همراه کد اثبات مفهومی و ویدئو و پیوندهای مربوط به درایورهای آسیبپذیر را در گیتهاب منتشر کنند که به کاربران کمک خواهد کرد تا درایورهای آسیبپذیر نصبشده در سیستمهای خود را پیدا کنند.