2min

Beveiligingsonderzoekers van Eclypsium hebben ernstige kwetsbaarheden gevonden in meer dan 40 drivers van 20 hardware vendoren. De onderzoekers presenteerden hun werk tijdens de Def Con-conferentie in Las Vegas.

De kwetsbaarheden kunnen volgens de onderzoekers eenvoudig misbruikt worden door hackers om malware in te zetten, schrijft Silicon Angle. De kwetsbaarheden zitten in drivers van onder meer Asus, Huawei, Intel, Nvidia en Toshiba.

De kwetsbare drivers maken het mogelijk voor een cybercrimineel om legitieme driver-functies te gebruiken om malafide acties uit te voeren binnenin Windows. Dit is onder meer mogelijk in de Windows-kernel, aldus de onderzoekers.

“Al deze kwetsbaarheden laten de driver werken als een proxy om toegang met hoge privileges mogelijk te maken naar de hardware-resources”, vertellen de onderzoekers. Daarbij gaat het bijvoorbeeld om lees- en schrijftoegang tot de processor en chipset I/O-ruimte, Model Specific Registers, Control Registers, Debug Registers, fysiek geheugen en kernel virtueel geheugen.

“Aangezien veel van de drivers ontworpen zijn om firmware te updaten, biedt de driver niet alleen de noodzakelijke privileges maar ook het mechanisme om veranderingen aan te brengen.”

Microsoft

Opvallend is dat alle kwetsbare drivers gecertificeerd waren door Microsoft. Met de onthulling worden dan ook vraagtekens gezet bij het certificatieproces van Microsoft.

Hardware en drivers die door het bedrijf gecertificeerd worden, gaan door een testproces van Windows Hardware Quality Labs. Dat is een proces waarbij meerdere tests uitgevoerd worden, waaronder tests gerelateerd aan beveiliging.

Hoewel er af en toe een kwetsbaarheid gemist wordt, is het nog niet eerder gebeurd dat er zoveel drivers van zoveel verschillende hardware-leveranciers met de certificering tegelijkertijd fouten blijken te bevatten.

Fouten opgelost

De onderzoekers weten wel te melden dat een aantal bedrijven de problemen voor de publicatie hebben opgelost. Het gaat onder meer om Intel en Huawei. In andere drivers blijven de fouten echter nog wel aanwezig.

Probleem is bovendien dat de problemen alle moderne versies van Windows treffen, en er geen universeel mechanisme is om te voorkomen dat een Windows-machine één van de slechte varianten laadt.