34 个问题驱动被发现,概念验证确认被黑客利用可掌握 Windows 11 系统

安全 Windows
VMware 旗下威胁分析部门(TAU)近日发现了 34 个存在安全隐患的 Windows 驱动程序,其中涉及 237 个文件,其哈希值部分属于旧设备。

11 月 7 日消息,VMware 旗下威胁分析部门(TAU)近日发现了 34 个存在安全隐患的 Windows 驱动程序,其中涉及 237 个文件,其哈希值部分属于旧设备。

其中很多驱动程序的安全证书处于“已吊销”或者“已过期”状态,但是各行各业依然有不少企业使用包含这些驱动的旧设备。

TAU 通过静态分析自动化脚本发现了这些问题驱动,其中 30 个为具有固件访问权限的 WDM,此外还有 4 个 WDF 驱动,可以让非管理员用户完全控制设备。

目前 Windows 11 系统默认通过 Hypervisor-Protected Code Integrity(HVCI)来阻止加载问题驱动程序,但 TAU 团队发现除了 5 个之外,其它问题驱动都可以正常加载。

TAU 团队表示,攻击者可以利用这些问题驱动程序,即便没有系统权限也可以擦除或更改机器的固件,提升访问权限,禁用安全功能,安装防病毒的 bootkit 等。

安全机构目前对问题驱动程序的研究主要集中在较旧的 WDM 模型上,不过 VMware 分析师目前检测到较新的 WDF 驱动程序同样也存在问题。

研究人员随后成功利用该漏洞技进行验证,团队在支持 HVCI 的 Win11 操作系统上,制作了 AMD 驱动程序的概念验证(PoC)驱动,可以运行具有“系统完整性级别”的命令提示符(cmd.exe)。

团队开发的另一个 PoC 驱动,成功在英特尔 Apollo SoC 平台上,实现擦除固件功能。

虽然研究人员已经报告了很多易受攻击的驱动,但 TAU 表示,他们的新分析方法足以找到仍然具有有效签名的新问题驱动。

微软目前尝试通过“禁止列表”方式解决问题驱动,而且 TAU 也尝试提出更全面、更妥善的保护方案。

IT之家在此附上报告原文链接,感兴趣的用户可以深入阅读。

责任编辑:庞桂玉 来源: IT之家
相关推荐

2022-08-11 19:24:49

漏洞网络攻击

2009-05-12 09:03:30

微软Windows 7操作系统

2021-11-12 16:12:33

黑客恶意软件网络攻击

2024-08-22 14:05:02

2022-03-27 11:51:01

微软Lapsus$源代码

2023-03-11 11:01:35

2010-06-22 10:34:49

联想官方网站恶意软件驱动

2019-05-17 09:30:22

微软Windows XP漏洞

2022-06-16 08:46:30

漏洞黑客微软

2010-09-01 15:18:04

2021-07-16 10:37:14

漏洞网络安全网络攻击

2021-08-30 07:48:34

黑客网络安全漏洞

2021-03-12 09:37:35

微软漏洞黑客

2021-10-09 08:57:46

Windows 11操作系统微软

2024-08-06 16:35:36

2011-11-18 10:04:00

2023-06-21 10:33:16

2020-08-18 16:21:36

安全黑客摄像机

2020-12-18 08:50:58

微软黑客SolarWinds

2021-10-26 11:47:22

微软office漏洞黑客
点赞
收藏

51CTO技术栈公众号