Immagine: Artiom Vallat, Intel
Intel ha rilasciato oggi una versione aggiornata del suo PMx driver per risolvere una serie di vulnerabilità che potrebbero concedere attaccanti di “quasi-onnipotente controllo sulla vittima dispositivo.”
Le vulnerabilità sono state scoperte all’inizio di quest’anno dai ricercatori Eclypsium, come parte di un gigantesco progetto che ha esaminato lo stato generale del kernel di Windows driver di sicurezza.
Durante l’estate, Eclypsium i ricercatori hanno presentato i loro risultati al DEF CON 27 security conference di Las Vegas. Al momento, sono comunicati oltre 40 vulnerabilità nel kernel i driver da 20 diversi produttori di hardware.
Hanno solo resi pubblici i dettagli circa il 39 driver del kernel, trattenendo a rivelare un paio di problemi che non si era ancora risolto.
Due di questi problemi sono stati risolti tre giorni dopo Eclypsium del DEF CON talk [PDF], il 13 agosto, quando Intel correzioni rilasciate per l’Intel Processor Identification Utility e Intel Computing Programma di Miglioramento.
Correzioni per Intel PMx driver roll out di oggi
“Un altro pilota che si è tenuto sotto embargo a causa della complessità del problema è stata la Intel PMx Driver (anche denominato PMxDrv),” il Eclypsium squadra ha detto in un post del blog di oggi.
“Durante la nostra analisi di Intel PMx driver, abbiamo trovato ad essere incredibilmente capace, contenente un superset di tutte le funzionalità che abbiamo visto in precedenza”.
Secondo i ricercatori, questo kernel il driver potrebbe
● Lettura/Scrittura in memoria fisica
● Lettura/Scrittura a Specifici modelli di Registri (MSR)
● Lettura/Scrittura di registri di controllo
● Lettura/Scrittura per l’interrupt descriptor table (IDT) e il global descriptor table (GDT)
● Lettura/scrittura di registri di debug
● Arbitrariamente ottenere l’accesso I/O
● Arbitrariamente guadagno PCI accesso
Come Eclypsium ricercatori hanno detto ZDNet in un’intervista indietro nel mese di agosto, tutti questi legittimi PMx funzioni del driver potrebbe essere abusato da codice dannoso in esecuzione su un computer infetto.
Normalmente, un utente malintenzionato avrebbe bisogno di diritti di amministratore per accedere a un driver del kernel di funzioni, ma Eclypsium ha detto che molti fornitori non era riuscito a proteggere i driver del kernel, secondo cassetta di sicurezza pratiche di programmazione, e sono stati permettendo userspace app per chiamare driver del kernel di funzioni, senza restrizioni.
Tale era il caso di Intel PMx driver.
Quel che è peggio, questo è uno dei più popolari e ampiamente utilizzati kernel driver in esistenza. Il driver è un componente comune di molte Intel ME e relative al BIOS strumenti che Intel è stato il rilascio degli ultimi due decenni, a partire dal 1999.
Per esempio, uno dei luoghi troverete il driver è uno “strumento di rilevazione” che Intel rilasciato nel 2017 per aiutare gli amministratori di sistema a identificare se i loro server e le workstation sono vulnerabili a un bug importante Intel Management Engine.
Quando ha raggiunto per un commento, Intel detto a ZDNet via e-mail che sarà il rilascio di oggi, le versioni aggiornate dei pmxdrvx64.sys e pmxdrv.sys PMx file del driver per ridurre il rischio di possibili minacce per la sicurezza.
Tuttavia, come abbiamo visto in passato con molti prodotti, ci vorranno un paio di mesi, se non anni, per queste patch per raggiungere la maggior parte di Intel della popolazione.
Riepilogo delle Avvitati “Driver” di ricerca
Per Suggerire ai lettori che non erano a conoscenza del problema generale che prima abbiamo coperto nel mese di agosto, si riporta di seguito un riepilogo con i dettagli più importanti di cui hanno bisogno di essere a conoscenza, insieme con i link utili:
Eclypsium scoperto che molti driver del kernel, lo scopo di permettere ai componenti hardware per interagire con il kernel del sistema operativo, sono anche app per relè comandi al kernel, senza garanzie.Un elenco di “non protetti driver del kernel” è disponibile qui.Un elenco di pubblici avvisi di sicurezza è qui. Solo Intel e Huawei fatto le falle di sicurezza pubblica, mentre la maggior parte dei fornitori ha scelto di silenzio patch influenzato i driver.Insyde contattato Microsoft e ha chiesto che la versione vulnerabile di loro driver del kernel di essere bloccato a livello di sistema operativo da Windows Defender.Microsoft ha detto che avrebbe utilizzato la sua HVCI (Hypervisor applicata l’Integrità del Codice) capacità di blacklist vulnerabili i driver che sono segnalati per loro.Windows HVCI caratteristica funziona solo su sistemi con un 7 ° generazione di processori Intel CPU, e non è generalmente disponibili su tutti i sistemi Windows. Manuale patch possono ancora essere necessari nella stragrande maggioranza dei casi.Elenco di impatto driver fornitori è come indicato di seguito (tre fornitore nomi non sono ancora stati resi pubblici, perché stiamo ancora lavorando sulla patch):
● American Megatrends Internazionale (AMI)
● ASRock
● ASUSTeK Computer
● ATI Technologies (AMD)
● Biostar
● EVGA
● Getac
● GIGABYTE
● Huawei
● Insyde
● Intel
● Micro-Star International (MSI)
● NVIDIA
● Phoenix Technologies
● Realtek Semiconductor
● SuperMicro
● Toshiba
Sicurezza
BlueKeep sfruttare per ottenere una correzione per il suo problema BSOD
Principali ASP.NET fornitore di hosting infettato da ransomware
Apple Mail su macOS foglie di parti di e-mail cifrate in chiaro
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati