طبق گزارشهای محققان امنیتی، حدود 34 درایور ویندوز آسیبپذیر یافت شده که میتوانند توسط مهاجمین برای به دست آوردن کنترل کامل دستگاهها و اجرای کد بر روی سیستمها مورد سوءاستفاده قرار گیرند.
تاکاهیرو هارویاما، محقق ارشد تهدیدات سایبری در Vmware در این باره توضیح داد:« یک مهاجم با استفاده از این درایورها، بدون داشتن هیچ گونه دسترسی میتواند سیستم عامل را پاک کند یا تغییر دهد و یا حتی سطح دسترسی خود را افزایش دهد.»
محققان در این تحقیقات از اجرای آزمایشی بدافزار برای خودکارسازی کشف درایورهای آسیبپذیر استفاده کردهاند. این تحقیقات به طور خاص بر روی درایورهایی تمرکز میکند که شامل دسترسی میانافزار از طریق پورت I/O هستند.
نام برخی از مهمترین درایورهای آسیب پذیر عبارتند از:
AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, TdkLib64.sys (CVE-2023-35841).
انواع آسیبپذیریهای درایورهای ویندوز
دسترسی مهاجم به حافظه کرنل
از بین 34 درایور آسیبپذیر، شش درایور اجازه دسترسی به حافظه کرنل را میدهند که میتواند برای افزایش دسترسی و شکستن راهکارهای امنیتی مورد سوء استفاده قرار گیرد. دوازده مورد از این درایورها میتوانند برای برهم زدن مکانیسمهای امنیتی مانند KASLR مورد سوء استفاده قرار گیرند.
پاک کردن حافظه SPI و غیرقابل بوتشدن سیستم
هفت درایور از جمله stdcdrv64.sys اینتل، میتواند برای پاک کردن سیستم عامل در حافظه فلش SPI مورد استفاده قرار گیرد که سیستم را غیرقابل بوت میکند. البته اینتل در بهروزرسانی جدید این درایور، یک راه حل برای این مشکل صادر کرده است.
اجرای حملات BYOVD به سبک گروه لازاروس
VMware نیز اعلام کرده که درایورهای WDF مانند WDTKernel.sys و H2OFFT64.sys را شناسایی کرده است که از نظر کنترل دسترسی آسیبپذیر نیستند، اما میتوانند برای انجام آنچه حمله BYOVD مورد استفاده قرار گیرند.
این تکنیک توسط مهاجمان مختلف، از جمله گروه هکری لازاروس تحت حمایت کره شمالی، به عنوان راهی برای به دست آوردن سطح دسترسی بالا و غیرفعال کردن راهکارهای امنیتی و فرار از شناسایی، استفاده شده است.