34 de drivere Windows vulnerabile

Un număr de 34 de drivere Windows Driver Model (WDM) și Windows Driver Frameworks (WDF) ar putea fi exploatate de către atacatori fără privilegii pentru a obține controlul complet al dispozitivelor și pentru a executa cod arbitrar pe sistemele afectate.

Prin exploatarea vulnerabilităților, un atacator fără privilegii poate șterge/modifica firmware-ul și/sau crește privilegiile.

Numele unora dintre driverele vulnerabile includ AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld. amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys și TdkLib64.sys (CVE-2023-35841).

Dintre cele 34 de drivere, șase permit accesul la memoria nucleului, care poate fi folosit pentru a crește privilegiile. Douăsprezece dintre drivere ar putea fi exploatate pentru a ocoli măsurile de securitate, cum ar fi KASLR (kernel address space layout randomization).

Șapte dintre drivere, inclusiv stdcdrv64.sys de la Intel, pot fi utilizate pentru a șterge firmware-ul din memoria flash SPI, ceea ce face ca sistemul să nu mai poată fi pornit. Intel a emis o soluție pentru această problemă.

VMware a declarat că a identificat, de asemenea, drivere WDF, cum ar fi WDTKernel.sys și H2OFFT64.sys, care nu sunt vulnerabile în ceea ce privește controlul accesului, dar care pot fi exploatate de către atacatori cu privilegii  pentru a realiza  atacuri BYOVD (Bring Your Own Vulnerable Driver).

Sursă: https://thehackernews.com/2023/11/researchers-find-34-windows-drivers.html