Более сорока моделей драйверов для ПК от двадцати различных производителей содержат опасные уязвимости, позволяющие злоумышленнику повысить свои привилегии в системе.
Для распознавания аппаратных компонентов и взаимодействия с ними операционная система использует драйверы. Код драйвера позволяет установить связь между аппаратным обеспечением и ядром ОС с привилегиями, выше чем у обычного пользователя или даже администратора. В связи с этим уязвимости в драйверах представляют большую опасность, поскольку с их помощью злоумышленник может получить наивысшие привилегии и добраться до ядра ОС.
Через уязвимости в драйверах атакующий может получить доступ к компонентам на более глубоком уровне и вмешаться в их работу или вовсе вывести из строя.
Особо опасны прошивки BIOS и UEFI, которые являются низкоуровневыми программами, запускающимися перед операционной системой. Вредоносное ПО, установленное в этих компонентах, невидимо для большинства решений безопасности (антивирусов) и не может быть удалено путем переустановки ОС.
Список разработчиков, затронутых этой проблемой, включает всех основных производителей BIOS и крупных производителей компьютерного оборудования, таких как ASUS, Toshiba, Intel, Gigabyte, Nvidia и Huawei.
«Все эти уязвимости позволяют драйверу выступать в качестве прокси-сервера для выполнения высокопривилегированного доступа к аппаратным ресурсам, таким как доступ на чтение и запись в пространство ввода-вывода процессора и чипсета, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), физическая память и виртуальная память ядра», сообщают исследователи.
Эксперты говорят, что среди уязвимых драйверов они обнаружили некоторые, которые взаимодействуют с видеокартами, сетевыми адаптерами, жесткими дисками и другими устройствами. «Эти проблемы относятся ко всем современным версиям Microsoft Windows, и в настоящее время не существует универсального механизма, который защитит компьютер Windows от загрузки одного из этих известных зараженных драйверов».
Вредоносные программы, установленные в этих компонентах, «могут читать, записывать или перенаправлять данные, хранящиеся, отображаемые или передаваемые по сети». Кроме того, эти компоненты могут быть отключены, что приведет к отказу в обслуживании системы.
Атаки с использованием уязвимых драйверов не являются теоретическими. Они были выявлены в кибершпионских операциях, приписываемых хорошо финансируемым хакерам.
Варианты решений для снижения этой угрозы включают регулярное сканирование на наличие устаревших прошивок, а также применение последних исправлений драйверов от производителей устройств для устранения любых уязвимостей.