Buzz
Danh sách này bao gồm nhiều cái tên như Intel, AMD, NVIDIA, ASRock, AMI, Gigabyte, Realtek, Huawei...
Tại hội thảo bảo mật DEF CON 27 diễn ra vào ngày hôm nay tại Las Vegas, các nhà nghiên cứu bảo mật từ Eclypsium đã trình bày về các lỗ hổng thiết kế phổ biến mà họ đã phát hiện trên hơn 40 driver hạt nhân từ 20 nhà sản xuất phần cứng khác nhau.
Những lỗ hổng thiết kế này cho phép các ứng dụng có đặc quyền thấp sử dụng các chức năng của driver để thực hiện các hành động nguy hiểm trong những phần nhạy cảm nhất của hệ điều hành Windows, như nhân Windows chẳng hạn.
'Có một số lượng lớn tài nguyên phần cứng thường chỉ có thể truy cập bởi các phần mềm có đặc quyền, như nhân Windows, và cần phải được bảo vệ khỏi các hành vi đọc/ghi nguy hiểm từ các ứng dụng người dùng' - Mickey Shkatov, một nhà nghiên cứu tại Eclypsium, lên tiếng.
'Lỗ hổng thiết kế trở nên rõ ràng khi các driver đã được ký cung cấp các chức năng có thể bị lợi dụng bởi các ứng dụng người dùng để thực hiện các lệnh đọc/ghi toàn quyền lên các tài nguyên nhạy cảm mà không bị giới hạn hoặc kiểm tra bởi Microsoft' - ông nói thêm.
Shkatov chỉ ra rằng những vấn đề này có nguyên nhân từ việc viết mã không tốt và thiếu quan tâm đến bảo mật trong quá trình lập trình phần mềm.
'Đây là một hành vi thiết kế phần mềm khá phổ biến, khi thay vì hạn chế driver chỉ thực hiện các tác vụ cụ thể, chúng lại được thiết kế linh hoạt để thực hiện các hành động dưới danh nghĩa người dùng'
Những nhà sản xuất bị ảnh hưởng bởi lỗ hổng thiết kế
Shkatov cho biết công ty của ông đã thông báo đến từng nhà sản xuất phần cứng bị ảnh hưởng, cho phép các ứng dụng người dùng chạy mã kernel. Những nhà sản xuất này đã phát hành các bản cập nhật vá lỗi như sau:
- American Megatrends International (AMI)
- ASRock
- ASUSTek Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
'Một số nhà sản xuất, như Intel và Huawei, đã phát hành các bản cập nhật. Một số trong số đó là các IBV (các nhà sản xuất BIOS độc lập) như Phoenix và Insyde, cũng sắp phát hành các bản cập nhật đến các khách hàng OEM của họ' - Shkatov nói.
Nhà nghiên cứu từ Eclypsium cho biết ông không công bố tên toàn bộ những nhà sản xuất bị ảnh hưởng bởi lỗ hổng, vì một số 'cần thêm thời gian vì những tình huống đặc biệt', và các bản vá cũng như hướng dẫn sẽ được tung ra trong tương lai.
Ông cũng thông báo sẽ đăng tải danh sách các driver bị ảnh hưởng cùng mã hash trên GitHub sau buổi diễn thuyết để người dùng và quản trị viên hệ thống có thể ngăn chặn các driver bị ảnh hưởng.
Bên cạnh đó, Shkatov cũng nói rằng Microsoft sẽ sử dụng HVCI (Hypervisor-enforced Code Integrity) để đưa các driver được báo cáo lên danh sách đen.
Tuy nhiên, Shkatov xác nhận rằng tính năng HVCI chỉ được hỗ trợ trên CPU Intel thế hệ thứ 7 trở lên. Các hệ thống cũ hơn sẽ cần can thiệp thủ công, và ngay cả các CPU Intel mới hơn nhưng không thể kích hoạt HVCI cũng vậy.
'Để tận dụng các driver bị ảnh hưởng, kẻ tấn công sẽ cần can thiệp vào máy tính trước' - Microsoft nói. 'Để giảm thiểu rủi ro này, Microsoft khuyến nghị người dùng sử dụng Windows Defender Application Control để chặn các phần mềm và driver đã biết. Người dùng có thể bảo vệ mình tốt hơn bằng cách kích hoạt tính năng bảo vệ bộ nhớ trên các thiết bị có thể kích hoạt trong Windows Security. Microsoft cam kết hợp tác cùng các đối tác công nghiệp để giải quyết lỗ hổng một cách kín đáo và bảo vệ khách hàng.'
Tham khảo: ZDNet
