Billede: Artiom Vallat, Intel
Intel frigav i dag en opdateret version af sin PMx driver til at løse en række sårbarheder, der kan give hackere “nær-almægtig kontrol over et offer enhed.”
De sårbarheder blev opdaget tidligere i år af forskere fra Eclypsium, som en del af et gigantisk projekt, der så på den generelle tilstand af Windows kernel driver sikkerhed.
I løbet af sommeren, Eclypsium forskere præsenteret deres resultater på den DEF CON 27 sikkerheds-konference i Las Vegas. På det tidspunkt, de har beskrevet over 40 sårbarheder i kerne-drivere fra 20 forskellige hardware leverandører.
De har kun lavet en offentlig detaljer omkring 39 kerne-drivere, holder på at afsløre et par spørgsmål, som endnu ikke var blevet rettet.
To af disse problemer blev løst, tre dage senere, efter at Eclypsium s-party talk [PDF], August 13, da Intel har frigivet rettelser til Intel Processor Identification Utility og Intel Computing Programmet til Forbedring.
Rettelser til Intel ‘ s PMx driver rullende ud i dag
“En anden driver, der blev afholdt under embargo på grund af kompleksiteten af de spørgsmål var det Intel PMx Driver (også kaldet PMxDrv),” den Eclypsium holdet sagde i et blog-indlæg i dag.
“I løbet af vores analyse af Intel PMx driver, vi fandt det at være utrolig dygtig, der indeholder en delmængde af alle de kapaciteter, vi havde set tidligere.”
Ifølge forskere, denne kerne driver kunne
● Læse/Skrive til den fysiske hukommelse
● Læse/Skrive til Model Specifikke Registre (MSR)
● Læse/Skrive til kontrol registre
● Læs/Skriv-til at afbryde descriptor table (IDT) og global descriptor table (GDT)
● Læse/skrive til debug registre
● Vilkårligt få I/O-adgang
● Vilkårligt få PCI adgang
Som Eclypsium forskere fortalte ZDNet i et interview tilbage i August, alle disse legitime PMx driver funktioner kan misbruges af ondsindede kode, der kører på en inficeret maskine.
Normalt, en hacker har brug for admin rettigheder for at få adgang til en kerne driver ‘ s funktioner, men Eclypsium sagde, at mange sælgere havde undladt at beskytte kerne-drivere i henhold til sikker programmering praksis, og var så userspace apps til at kalde kerne driver funktioner, uden nogen restriktioner.
Dette var tilfældet for Intel ‘ s PMx-driver.
At gøre tingene værre, det er en af de mest populære og udbredte kerne-drivere, der findes. Føreren har været en almindelig del af mange Intel MIG og BIOS-relaterede værktøjer, som Intel har været at slippe for de seneste to årtier, siden 1999.
For eksempel, et af de steder, vil du finde driveren er en “afsløring af”, at Intel frigivet i 2017 for at hjælpe systemadministratorer til at identificere, hvis deres arbejdsstationer og servere, der var sårbar over for en større fejl i Intel Management Engine.
Når de nåede ud for en kommentar, Intel fortalte ZDNet via e-mail om, at de vil frigive i dag opdaterede versioner af pmxdrvx64.sys og pmxdrv.sys PMx driver-filer for at mindske eventuelle trusler mod sikkerheden.
Men som vi har set i de sidste mange produkter, vil det tage et par måneder, hvis ikke år, for disse patches til at nå de fleste af Intel befolkning.
Resumé af “Skruet Drivere” forskning
For ZDNet læsere, der ikke var opmærksom på det generelle problem, at vi først dækket i August, er der nedenfor en oversigt med de vigtigste informationer, de har brug for at være opmærksom på, sammen med nyttige links:
Eclypsium fandt, at mange kerne-drivere, beregnet til at tillade, at hardware-komponenter til at interagere med OS-kernen, var også tillader, at apps til at videresender kommandoer til kernen, med ingen garantier.En liste af “ubeskyttet kerne-drivere” er tilgængelig her.En liste af offentlige sikkerhedsbulletiner, som er her. Kun Intel og Huawei gjort sikkerhedshuller offentlige, mens de fleste leverandører har valgt at stille patch påvirkede bilister.Insyde kontaktet Microsoft og bad om, at den sårbare version af deres kerne driver blive blokeret på OS niveau af Windows Defender.Microsoft sagde, at det ville være at bruge sin HVCI (Hypervisor-tvungen Kode Integritet) evne til at blackliste sårbare drivere, der er rapporteret til dem.Windows HVCI funktion virker kun på systemer med en 7th gen Intel CPU, og er generelt ikke tilgængelige på alle Windows-systemer. Manuel patching kan stadig være behov for i langt de fleste tilfælde.Listen over påvirket driver leverandører er som følger (tre sælgeren navne endnu ikke er blevet gjort offentlig, fordi de arbejder stadig på at patche):
● American Megatrends International (AMI)
● ASRock
● ASUSTeK Computer
● ATI (AMD)
● Biostar
● EVGA’
● Getac
● GIGABYTE
● Huawei
● Insyde
● Intel
● Micro-Star International (MSI)
● NVIDIA
● Phoenix Technologies
● Realtek Semiconductor
● SuperMicro
● Toshiba
Sikkerhed
BlueKeep udnytte til at få et fix for sin BSOD problem
Store ASP.NET hosting udbyder inficeret med ransomware
Apple Mail på macOS blade dele af krypterede e-mails i almindelig tekst
Fastsættelse af data lækager i Jira (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre