11 月 7 日消息，VMware 旗下威脅分析部門（TAU）近日發(fā)現(xiàn)了 34 個(gè)存在安全隱患的 Windows 驅(qū)動(dòng)程序，其中涉及 237 個(gè)文件，其哈希值部分屬于舊設(shè)備。

其中很多驅(qū)動(dòng)程序的安全證書(shū)處于“已吊銷”或者“已過(guò)期”狀態(tài)，但是各行各業(yè)依然有不少企業(yè)使用包含這些驅(qū)動(dòng)的舊設(shè)備。

TAU 通過(guò)靜態(tài)分析自動(dòng)化腳本發(fā)現(xiàn)了這些問(wèn)題驅(qū)動(dòng)，其中 30 個(gè)為具有固件訪問(wèn)權(quán)限的 WDM，此外還有 4 個(gè) WDF 驅(qū)動(dòng)，可以讓非管理員用戶完全控制設(shè)備。

目前 Win11 系統(tǒng)默認(rèn)通過(guò) Hypervisor-Protected Code Integrity（HVCI）來(lái)阻止加載問(wèn)題驅(qū)動(dòng)程序，但 TAU 團(tuán)隊(duì)發(fā)現(xiàn)除了 5 個(gè)之外，其它問(wèn)題驅(qū)動(dòng)都可以正常加載。

TAU 團(tuán)隊(duì)表示，攻擊者可以利用這些問(wèn)題驅(qū)動(dòng)程序，即便沒(méi)有系統(tǒng)權(quán)限也可以擦除或更改機(jī)器的固件，提升訪問(wèn)權(quán)限，禁用安全功能，安裝防病毒的 bootkit 等。

安全機(jī)構(gòu)目前對(duì)問(wèn)題驅(qū)動(dòng)程序的研究主要集中在較舊的 WDM 模型上，不過(guò) VMware 分析師目前檢測(cè)到較新的 WDF 驅(qū)動(dòng)程序同樣也存在問(wèn)題。

研究人員隨后成功利用該漏洞技進(jìn)行驗(yàn)證，團(tuán)隊(duì)在支持 HVCI 的 Win11 操作系統(tǒng)上，制作了 AMD 驅(qū)動(dòng)程序的概念驗(yàn)證（PoC）驅(qū)動(dòng)，可以運(yùn)行具有“系統(tǒng)完整性級(jí)別”的命令提示符（cmd.exe）。

團(tuán)隊(duì)開(kāi)發(fā)的另一個(gè) PoC 驅(qū)動(dòng)，成功在英特爾 Apollo SoC 平臺(tái)上，實(shí)現(xiàn)擦除固件功能。

雖然研究人員已經(jīng)報(bào)告了很多易受攻擊的驅(qū)動(dòng)，但 TAU 表示，他們的新分析方法足以找到仍然具有有效簽名的新問(wèn)題驅(qū)動(dòng)。

微軟目前嘗試通過(guò)“禁止列表”方式解決問(wèn)題驅(qū)動(dòng)，而且 TAU 也嘗試提出更全面、更妥善的保護(hù)方案。

在此附上報(bào)告原文鏈接，感興趣的用戶可以深入閱讀。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，所有文章均包含本聲明。

總結(jié)

以上是生活随笔為你收集整理的34 个问题驱动被发现，概念验证确认被黑客利用可掌握 Win11 系统的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。