攻击者可利用 34 个Windows驱动程序漏洞完全接管系统设备

攻击者可以利用多达 34 个独特的易受攻击的 Windows 驱动程序模型 ( WDM ) 和 Windows 驱动程序框架 ( WDF ) 驱动程序来完全控制设备并在底层系统上执行任意代码。

VMware表示，通过利用驱动程序，没有特权的攻击者可能会擦除/更改固件，和提升操作系统特权。

该研究扩展了之前的研究，例如ScrewedDrivers和POPKORN，它们利用符号执行来自动发现易受攻击的驱动程序。它特别关注包含通过端口 I/O 和内存映射 I/O 进行固件访问的驱动程序。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，一些易受攻击的驱动程序的名称包括 AODDriver.sys、ComputerZ.sys、dellbios.sys、GEDevDrv.sys、GtcKmdfBs.sys、IoAccess.sys、kerneld.amd64、ngiodriver.sys、nvoclock.sys、PDFWKRNL.sys (CVE ) -2023-20598 )、RadHwMgr.sys、rtif.sys、rtport.sys、stdcdrv64.sys 和 TdkLib64.sys ( CVE-2023-35841 )。

在 34 个驱动程序中，有 6 个允许内核内存访问，这些访问可能被滥用以提升权限并破坏安全解决方案。其中 12 个驱动程序可被利用来破坏安全机制，例如内核地址空间布局随机化 ( KASLR )。

其中 7 个驱动程序（包括英特尔的 stdcdrv64.sys）可用于擦除SPI 闪存中的固件，导致系统无法启动。英特尔此后发布了针对该问题的修复程序。

VMware表示，它还发现了WDTKernel.sys和H2OFFT64.sys等WDF驱动程序，这些驱动程序在访问控制方面不易受到攻击，但可以被特权威胁参与者轻易利用，以实施所谓的自带漏洞驱动程序（BYOVD）攻击。

该技术已被包括与朝鲜有关的Lazarus Group在内的各种对手采用，作为一种获得提升权限并禁用在受感染端点上运行的安全软件以逃避检测的方法。

极牛攻防实验室表示，用于对 x64 易受攻击的驱动程序进行自动静态代码分析的IDAPython 脚本]所针对的 API/指令的当前范围很窄，并且仅限于固件访问。但是，很容易扩展代码以覆盖其他攻击向量（例如终止任意进程）。