Tietoturvayritys Eclypsium on julkaissut artikkelin, jonka mukaan useiden laitevalmistajien ajurit ovat haavoittuvia hyökkäyksille. Yrityksen mukaan haavoittuvuuksia on löytynyt ainakin 20 eri valmistajan ajureista.
Eclypsiumin mukaan useiden suurten laitevalmistajien ajurit voiva haavoittuvuuksillaan uhata koko järjestelmän turvallisuutta. Haavoittuvat ajurit ovat yrityksen mukaan täysin normaalisti allekirjoitettuja ja ne ovat läpäisseet Microsoftin ajuriseulan. Sen mukaan haavoittuvuuksia hyödyntävät hyökkäykset voidaan jakaa kolmeen luokkaan: Read & Write Everything, LoJax ja Slingshot.
RWEverything ja LoJax hyödyntävät allekirjoitettua RwDrv.sys-ajuria saadakseen pääsyn Ring 0 -tasolle ja siten käytännössä koko tietokoneeseen. RWEverythingin kerrotaan mahdollistavan pääsyn tietoihin, joihin käyttäjillä ei pitäisi olla pääsyä (Ring 3) ja LoJax puolestaan käyttää RwDrv.sys-ajuria saadakseen piirisarjan SPI-ohjaimen haltuunsa ja sen jälkeen hyödyntää sitä asentaakseen järjestelmään UEFI-tason haittaohjelman. Slingshot hyödynsi muiden ajureiden mahdollisuutta kirjoittaa MSR-rekistereihin (Model Specific Registers) ohittaakseen ajureiden allekirjoituksen tarkastuksen ja sen jälkeen asentaakseen käyttöjärjestelmän ytimeen rootkitin. Slingshotin tiedetään olleen aktiivinen ainakin vuodesta 2012 vuoteen 2018.
Eclypsiumin mukaan haavoittuvia ajureita on ainakin 20 eri valmistajalla, joista se nimeää ASRockin, Asuksen, ATi / AMD:n, Biostarin, EVGA:n, Getac:n, Gigabyten, Huawein, Insyden, Intelin, MSI:n, NVIDIAn, Phoenix Technologiesin, Realtekin, SuperMicron ja Toshiban. Loppujen valmistajien nimet on jätetty julkaisematta ainakin toistaiseksi johtuen yhtiöiden toiminnasta arkaluontoisten järjestelmien parissa.
Lähde: Eclypsium
Pitäneen ottaa speksit pois näkyvistä, ettei kukaan tekistä koita hyökätä kotikoneeseen.
Näiden haavoittuvuuksien hyväksikäyttö tosin edellyttää sitä, että koneeseen on saatu ujutettua saastunut softa joko käyttäjän itsensä asentamana, muulla tietoturva aukolla, mutta sen jälkeen tälläinen softa pystyy ajamaan koneessa koodia admin oikeuksilla ilman, että käyttöjärjestelmä ilmoittelee asiasta mitään.
Taitaa tarvita fyysisen pääsyn koneelle ennen kuin pystyy hyödyntämään.
Pahempaakin, adminoikeudetkin päästävät vain Ring 3 tasolle
Ja sitten kun tämmöinenkin on mahdollista
https://www.io-tech.fi/uutinen/hakkerit-iskivat-asus-live-update-palveluun-ja-jakoivat-haittaohjelmalla-saastutettua-versiota-ohjelmasta/
Niin alkaa olla tarvittavat palikat kasassa rootkitin asennukseen.
Mitäpä noille voi käyttäjä tehdä, eipä oikein mitään >_<