کشف 34 آسیب‌پذیری امنیتی در درایور‌های WDM و WDF ویندوز

به‌تازگی 34 آسیب‌پذیری در درایورهای دستگاه‌های قدیمی در مدل درایور ویندوز (WDM) و چهارچوب درایور ویندوز (WDF) کشف شده است که بر محصولات اینتل، ای‌ام‌دی، انویدیا و برخی دیگر تأثیر می‌گذارند.

به‌گزارش تک‌ناک، تاکاهیرو هاوریاما، پژوهشگر سرشناس تهدیدهای امنیتی در VMware Carbon Black، در درایورهای دستگاه‌های قدیمی در مدل درایور ویندوز (WDM) و چهارچوب درایور ویندوز (WDF) سی‌و‌چهار آسیب‌پذیری شناسایی و مستند کرده است. برخی از این آسیب‌پذیری‌ها متعلق به شرکت‌هایی مانند ای‌ام‌دی، اینتل، انویدیا، دل و فینیکس تکنولوژیز هستند؛ اما به این شرکت‌ها محدود نمی‌شوند.

آسیب‌پذیری‌های یادشده در نرم‌افزار و BIOS یا درایورهای سیستم‌عامل دستگاه‌های قدیمی وجود دارند و باعث باز‌شدن سیستم به‌روی بردارهای مختلف حمله می‌شوند و به هکرها امکان می‌دهند که کنترل سیستم را کاملاً به‌دست گیرند و اقدامات مخربی مانند اضافه‌کردن کد مخرب و تغییر امتیازهای سیستم و حذف برخی دستورالعمل‌های ورودی‌و‌خروجی را انجام دهند.

اثبات مفهوم

tomshardware می‌نویسد که مثل همیشه برای شناسایی و ارزیابی جدیت این آسیب‌پذیری‌ها، به اثبات مفهومی برای بررسی نیاز است که پژوهشگران آن را ارائه داده‌اند. مانند اکثر متخصصان امنیتی مسئول، تاکاهیرو هاوریاما و همکارانش با تولیدکنندگان مسئول تماس گرفته‌اند.

هاوریاما اثبات مفهومی را برای درایور ای‌ام‌دی با نام فایل PDFKRNL.sys ارائه کرده است. این نمونه‌ی مفهومی نشان می‌دهد که کاربری غیرمجاز با سوءاستفاده از ویژگی HVCI در ویندوز ۱۱، می‌تواند cmd.exe را با سطح امنیت سیستم اجرا کند.

یکی از نمونه‌های عملی نشان می‌دهد که در پلتفرم‌های مبتنی‌بر Intel Apollo SoC، به‌طور خاص به آسیب‌پذیری‌های پاک‌سازی فیرم‌ور (Firmware) اشاره می‌کند. این نمونه‌ی مفهومی با پاک‌کردن 4KB اولیه‌ی فیرم‌ور دستگاه در حافظه‌ی فلش SPI، هدف حمله قرار می‌دهد.

این روش مشابه فرمان پاک‌سازی SPI است؛ اما از پورت و حافظه‌ی مپ‌شده‌ی ورودی‌وخروجی نیز استفاده می‌کند. دیگر آسیب‌پذیری مهم گزارش‌شده قابلیت غیرفعال‌کردن قفل BIOS و Intel Boot Guard را نشان می‌دهد.

باید تأکید شود که برخی از این درایورها گواهینامه‌های منقضی‌شده دارند و برخی از آن‌ها حتی گواهینامه‌هایشان لغو شده‌اند؛ اما در‌حال‌حاضر در فهرست درایورها گزینه‌هایی با گواهینامه‌های فعال نیز وجود دارد. در این وبلاگ و گیت‌هاب، نمونه‌های مفهومی دیگری را می‌توان پیدا کرد که شامل اسکریپت‌های IDAPython نیز می‌شوند.

پاسخ فروشنده

افزون‌براین، تاکاهیرو هاوریاما اشاره کرده است که سازمان JPCERT/CC در حال هماهنگی برای رفع مشکلات با تولیدکنندگان مرتبط است. در زمان نگارش این خبر، تولیدکننده‌ی بایوس کامپیوتر فینیکس تکنولوژیز و شرکت ای‌ام‌دی گزارش داده شده‌اند آسیب‌پذیری‌ها در دو درایوری که امضای آن‌ها هنوز معتبر است، رفع شده است. در‌ادامه، آمده است که اینتل نیز آسیب‌پذیری موجود در فایل stdcdrv64.sys را رفع کرده است.

مایکل هاگ، پژوهشگر ارشد تهدیدهای امنیتی در شرکت Splunk، نیز این یافته‌ها را به وب‌سایت خود اضافه کرده است. این وب‌سایت فهرستی از درایورهای Microsoft Windows (family of computer operating systems developed by Microsoft) را تهیه و نگه‌داری می‌کنند که کنترل امنیتی‌شان دست‌کاری شده است. درایورهای ویندوز یادشده اجرای کد مخرب را ممکن می‌سازند.