Pilotes de plus de 40 fabricants, y compris Intel, NVIDIA et AMD vulnérables aux attaques de logiciels malveillants avec escalade de privilèges !
La société de recherche en cybersécurité Eclypsium a publié un rapport intitulé "Pilotes vissés", qui décrit une faille critique dans la conception des logiciels de pilotes de périphériques modernes de plus de 40 fabricants de matériel, qui permet aux logiciels malveillants d'obtenir le privilège de Ring 3 à Ring 0 (accès matériel illimité).
La longue liste de fabricants publiant des pilotes entièrement signés et approuvés par Microsoft dans le cadre de son programme WHQL inclut de grands noms tels que Intel, AMD, NVIDIA, AMI, Phoenix, ASUS, Toshiba, SuperMicro, GIGABYTE, MSI et EVGA. Un grand nombre de ces derniers noms sont des fabricants de cartes mères qui conçoivent des applications de surveillance et d'overclocking de matériel, installant des pilotes en mode noyau dans Windows pour un accès matériel à Ring-0.
Dans le cadre de son étude, Eclypsium décrit trois types d’attaques d’escalade de privilèges exploitant des pilotes de périphérique, RWEverything, LoJax (le premier logiciel malveillant UEFI), SlingShot. Au cœur de celles-ci, on trouve l’exploitation de la façon dont Windows continue à travailler avec des pilotes avec des certificats de signature défectueux, obsolètes ou expirés. Eclypsium n’a pas étudié en détail chaque problème, mais en a brièvement défini les trois dans une présentation de DEF CON.
La société travaille avec plusieurs des fabricants énumérés sur les mesures d'atténuation et les correctifs et est sous embargo pour publier un livre blanc. Eclypsium a introduit RWEverything en tant qu'utilitaire permettant d'accéder à toutes les interfaces matérielles via un logiciel. Il fonctionne dans l'espace utilisateur, mais avec un pilote en mode noyau signé RWDrv.sys, installé une seule fois, agit comme un conduit par les logiciels malveillants pour obtenir un accès Ring-0 à votre ordinateur.
LoJax est un outil d'implantation qui utilise RWDrv.sys pour accéder au contrôleur de flash SPI du chipset de votre carte mère, afin de modifier votre flash UEFI BIOS. Slingshot est un APT avec son propre pilote malveillant qui exploite d'autres pilotes avec MSR en lecture/écriture pour contourner l'application de la signature du pilote afin d'installer un rootkit.
Pour plus d'information (En Anglais), Cliquez ICI.