Eclypsium: useiden laitevalmistajien ajurit uhkaavat koko järjestelmien turvallisuutta

Tietoturvayritys Eclypsium on julkaissut artikkelin, jonka mukaan useiden laitevalmistajien ajurit ovat haavoittuvia hyökkäyksille. Yrityksen mukaan haavoittuvuuksia on löytynyt ainakin 20 eri valmistajan ajureista.

Eclypsiumin mukaan useiden suurten laitevalmistajien ajurit voiva haavoittuvuuksillaan uhata koko järjestelmän turvallisuutta. Haavoittuvat ajurit ovat yrityksen mukaan täysin normaalisti allekirjoitettuja ja ne ovat läpäisseet Microsoftin ajuriseulan. Sen mukaan haavoittuvuuksia hyödyntävät hyökkäykset voidaan jakaa kolmeen luokkaan: Read & Write Everything, LoJax ja Slingshot.

RWEverything ja LoJax hyödyntävät allekirjoitettua RwDrv.sys-ajuria saadakseen pääsyn Ring 0 -tasolle ja siten käytännössä koko tietokoneeseen. RWEverythingin kerrotaan mahdollistavan pääsyn tietoihin, joihin käyttäjillä ei pitäisi olla pääsyä (Ring 3) ja LoJax puolestaan käyttää RwDrv.sys-ajuria saadakseen piirisarjan SPI-ohjaimen haltuunsa ja sen jälkeen hyödyntää sitä asentaakseen järjestelmään UEFI-tason haittaohjelman. Slingshot hyödynsi muiden ajureiden mahdollisuutta kirjoittaa MSR-rekistereihin (Model Specific Registers) ohittaakseen ajureiden allekirjoituksen tarkastuksen ja sen jälkeen asentaakseen käyttöjärjestelmän ytimeen rootkitin. Slingshotin tiedetään olleen aktiivinen ainakin vuodesta 2012 vuoteen 2018.

Eclypsiumin mukaan haavoittuvia ajureita on ainakin 20 eri valmistajalla, joista se nimeää ASRockin, Asuksen, ATi / AMD:n, Biostarin, EVGA:n, Getac:n, Gigabyten, Huawein, Insyden, Intelin, MSI:n, NVIDIAn, Phoenix Technologiesin, Realtekin, SuperMicron ja Toshiban. Loppujen valmistajien nimet on jätetty julkaisematta ainakin toistaiseksi johtuen yhtiöiden toiminnasta arkaluontoisten järjestelmien parissa.

Lähde: Eclypsium