11 月 7 日消息，VMware 旗下威脅分析部門（TAU）近日發(fā)現(xiàn)了 34 個存在安全隱患的 Windows 驅(qū)動程序，其中涉及 237 個文件，其哈希值部分屬于舊設(shè)備。

其中很多驅(qū)動程序的安全證書處于“已吊銷”或者“已過期”狀態(tài)，但是各行各業(yè)依然有不少企業(yè)使用包含這些驅(qū)動的舊設(shè)備。

TAU 通過靜態(tài)分析自動化腳本發(fā)現(xiàn)了這些問題驅(qū)動，其中 30 個為具有固件訪問權(quán)限的 WDM，此外還有 4 個 WDF 驅(qū)動，可以讓非管理員用戶完全控制設(shè)備。

目前 Windows 11 系統(tǒng)默認(rèn)通過 Hypervisor-Protected Code Integrity（HVCI）來阻止加載問題驅(qū)動程序，但 TAU 團隊發(fā)現(xiàn)除了 5 個之外，其它問題驅(qū)動都可以正常加載。

TAU 團隊表示，攻擊者可以利用這些問題驅(qū)動程序，即便沒有系統(tǒng)權(quán)限也可以擦除或更改機器的固件，提升訪問權(quán)限，禁用安全功能，安裝防病毒的 bootkit 等。

安全機構(gòu)目前對問題驅(qū)動程序的研究主要集中在較舊的 WDM 模型上，不過 VMware 分析師目前檢測到較新的 WDF 驅(qū)動程序同樣也存在問題。

研究人員隨后成功利用該漏洞技進(jìn)行驗證，團隊在支持 HVCI 的 Win11 操作系統(tǒng)上，制作了 AMD 驅(qū)動程序的概念驗證（PoC）驅(qū)動，可以運行具有“系統(tǒng)完整性級別”的命令提示符（cmd.exe）。

團隊開發(fā)的另一個 PoC 驅(qū)動，成功在英特爾 Apollo SoC 平臺上，實現(xiàn)擦除固件功能。

雖然研究人員已經(jīng)報告了很多易受攻擊的驅(qū)動，但 TAU 表示，他們的新分析方法足以找到仍然具有有效簽名的新問題驅(qū)動。

微軟目前嘗試通過“禁止列表”方式解決問題驅(qū)動，而且 TAU 也嘗試提出更全面、更妥善的保護(hù)方案。

IT之家在此附上報告原文鏈接，感興趣的用戶可以深入閱讀。