VMware Carbon Blackのシニア脅威研究者であるTakahiro Hauryama氏は、Windows Driver Model(WDM)およびWindows Driver Framework(WDF)のレガシーデバイス向けドライバに存在する34件の脆弱性を特定し、文書化しました。これらの脆弱性の一部は、AMD、Intel、Nvidia、Dell、Phoenix Technologiesなど、複数の企業に帰属するものです。
これらの脆弱性は、ソフトウェア、BIOS、またはレガシー デバイスの OS ドライバーのいずれかに存在し、さまざまな攻撃ベクトルに対してシステムを無防備にしたままにすることで、悪意のある攻撃者がシステムを完全に制御できるようになり、悪意のあるコードの追加、システム権限の変更、一部の I/O 命令の消去など、さまざまな攻撃を実行できるようになります。
概念実証
いつものように、これらの脆弱性の深刻度を特定し評価するには、概念実証が必要です。研究者らは、その概念実証を提供しています。多くの責任あるセキュリティ専門家と同様に、羽留山隆弘氏と彼と協力した他の研究者たちは、責任のあるベンダーに連絡を取りました。
画像
1
の
2
研究者は、AMDドライバファイル名PDFKRNL.sysを用いた概念実証を行いました。この実証では、Windows 11のハイパーバイザー保護コード整合性(HVCI)を悪用することで、権限のないユーザーがシステム整合性レベルでcmd.exeを実行できることが示されています。
PoCの1つは、Intel Apollo SoCベースのプラットフォームに特有のファームウェア消去エクスプロイトを示しています。このエクスプロイトは、SPIフラッシュメモリ内のファームウェアの最初の4KBを消去することでデバイスを攻撃します。この手法はspi eraseコマンドに似ていますが、ポートマップドI/OとメモリマップドI/Oも悪用します。ブログで言及されているもう1つの重要なエクスプロイトは、BIOSロックとIntel Boot Guardを無効にする機能を示しています。
これらのドライバの中には、証明書の有効期限が切れているものや、失効しているものもあることを強調しておきます。ただし、リストには有効な証明書を持つドライバも含まれています。
その他の概念実証はブログ投稿と Github で参照でき、IDAPython スクリプトも含まれています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ベンダーの回答
高広氏はまた、JPCERT/CCが各ベンダーと修正を調整中であると述べました。本稿執筆時点では、PC BIOSメーカーのPhoenix TechnologiesとAMDが、署名が有効な2つのドライバの脆弱性を修正したと報告されています。その後、Intelがstdcdrv64.sysファイル名で発見された脆弱性を修正したことも付け加えられました。
Splunkのシニアスレッド研究者であるMichael Haag氏も、これらの調査結果を自身のウェブサイトに掲載しました。このサイトでは、セキュリティ制御のバイパスにより悪意のあるコードの実行が可能になることが発見されたWindowsドライバのリストをまとめています。また、この重要な研究を支援したBrian Baskin氏にも感謝の意を表します。
Roshan Ashraf Shaikhは2000年代初頭からインドのPCハードウェアコミュニティに携わり、PCの組み立て、インドの多くの技術フォーラムやブログへの寄稿に携わってきました。Hardware BBQを11年間運営し、eTeknixとTweakTownでニュース記事を執筆した後、Tom's Hardwareチームに加わりました。テクノロジー以外にも、格闘ゲーム、映画、アニメ、機械式時計に興味を持っています。
