Hơn 40 driver cho phép tin tặc cài đặt backdoor trên máy tính chạy Windows

Lỗ hỏng leo thang đặc quyền driver Windows

Nếu bạn sở hữu một thiết bị hoặc một thành phần hardware được sản xuất bởi ASUS, Toshiba, Intel, NVIDIA, Huawei hoặc 15 nhà cung cấp khác được liệt kê dưới đây, rất có thể bạn đã bị lừa. Hiện có hơn 40 driver được báo cáo có thể cho phép tin tặc cài đặt backdoor liên tục trên PC Windows.

Một nhóm các nhà nghiên cứu bảo mật mới đây đã phát hiện ra các lỗ hổng bảo mật có nguy cơ rủi ro cao trong hơn 40 driver (trình điều khiển) từ ít nhất 20 nhà cung cấp khác nhau có thể cho phép kẻ tấn công giành được sự cho phép đặc quyền cao nhất (most privileged permission) trên hệ thống và ẩn các malware để không bị phát hiện, thậm chí trong nhiều năm.

Đối với những kẻ tấn công tinh vi, duy trì sự liên tục sau khi thỏa hiệp một hệ thống là một trong những nhiệm vụ quan trọng nhất và để đạt được điều này, các lỗ hổng phần cứng hiện có đôi khi đóng một vai trò quan trọng.

Driver thiết bị

Một thành phần như vậy là driver thiết bị, thường được gọi là driver hoặc hardware driver (trình điều khiển phần cứng) – một chương trình phần mềm điều khiển một loại thiết bị phần cứng cụ thể, giúp giao tiếp với hệ điều hành của máy tính đúng cách.

Do driver thiết bị nằm giữa hardware và hệ điều hành, đồng thời trong hầu hết các trường hợp có quyền truy cập đặc quyền vào nhân hệ điều hành nên điểm yếu bảo mật trong thành phần này có thể dẫn đến thực thi mã ở lớp nhân (kernel layer).

Cuộc tấn công leo thang đặc quyền này có thể chuyển các hacker từ chế độ user mode (Ring 3) sang chế độ kernel OS (Ring 0) như trong hình, cho phép những kẻ này cài đặt một backdoor liên tục trong hệ thống mà người dùng có thể không bao giờ nhận ra.

tấn công Windows

Các nhà nghiên cứu tại công ty bảo mật hardware và firmware Eclypsium đã phát hiện ra một số lỗ hổng mới có thể cho phép đọc/ ghi tùy ý lên bộ nhớ kernel, các thanh ghi cụ thể theo mô hình (MSR), Thanh ghi điều khiển (CR), Thanh ghi gỡ lỗi (DR) và bộ nhớ vật lý.

Biến công cụ quản lý thành mối đe dọa leo thang đặc quyền

Trong báo cáo ‘Screwed Drivers’, các nhà nghiên cứu cho biết tất cả các lỗ hổng này cho phép driver hoạt động như một proxy để thực hiện quyền truy cập đặc quyền cao vào các nguồn hardware. Điều này có thể cho phép kẻ tấn công biến chính các công cụ được sử dụng để quản lý hệ thống thành các mối đe dọa mạnh mẽ có thể leo thang đặc quyền và tồn tại vô hình trên máy chủ.

Truy cập vào kernel không chỉ cung cấp cho kẻ tấn công quyền truy cập đặc quyền cao nhất có sẵn vào hệ điều hành, nó còn có thể cấp quyền truy cập vào các giao diện hardware và firmware với các đặc quyền cao hơn như firmware BIOS hệ thống.

Vì malware chạy trong không gian người dùng có thể chỉ cần quét driver chứa lỗ hổng trên máy nạn nhân để thỏa hiệp với nó nên kẻ tấn công có thể không cần cài đặt driver chứa lỗ hổng của riêng chúng. Trong khi đó trái lại việc cài đặt có thể đòi hỏi phải có đặc quyền của quản trị viên hệ thống.

Danh sách các driver chứa lỗ hổng

Các nhà nghiên cứu được chứng nhận bởi Google đã phát hiện ra các driver chứa lỗ hổng như được liệt kê dưới đây:

  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

Danh sách này cũng bao gồm ba nhà cung cấp hardware nữa mà các nhà nghiên cứu chưa nêu tên. Được biết lý do là bởi các nhà cung cấp này làm việc trong môi trường có quy định nghiêm ngặt và sẽ mất nhiều thời gian hơn để có các bản sửa lỗi được chứng nhận và sẵn sàng triển khai cho khách hàng.

Malware có thể đọc, ghi hoặc chuyển hướng dữ liệu

Các nhà nghiên cứu giải thích rằng một số driver chứa lỗ hổng tương tác với các card đồ họa, bộ điều hợp mạng (network adapter), ổ cứng và nhiều thiết bị khác. Các malware liên tục nằm bên trong các thiết bị này có thể đọc, ghi hoặc chuyển hướng dữ liệu được lưu trữ, hiển thị hoặc gửi qua mạng. Tương tự như vậy, bất kỳ thành phần nào cũng có thể bị vô hiệu hóa như là một phần của cuộc tấn công DoS hoặc ransomware.

Lỗi driver thiết bị có thể nguy hiểm hơn các lỗ hổng ứng dụng khác vì nó cho phép kẻ tấn công truy cập vào các firmware “âm tính” nằm bên dưới hệ điều hành và duy trì sự liên tục trên thiết bị ngay cả khi hệ điều hành được cài đặt lại hoàn toàn giống như trường hợp của malware LoJax.

Các nhà nghiên cứu đã báo cáo các lỗ hổng này cho các nhà cung cấp bị ảnh hưởng, trong đó một số nhà cung cấp như IntelHuawei đã phát hành các bản vá lỗi cập nhật, đồng thời phát hành các bản tư vấn bảo mật.

Bên cạnh đó, các nhà nghiên cứu cũng hứa sẽ sớm phát hành một tập lệnh trên GitHub để giúp người dùng tìm thấy driver chứa wormhole được cài đặt trên hệ thống, cùng với mã PoC, mô phỏng video và các liên kết đến các driver cũng như công cụ chứa lỗ hổng dễ bị tấn công.

THN