Bild: Artiom Vallat, Intel
Intel släppte idag en uppdaterad version av sitt PMx föraren att fixa en uppsättning av sårbarheter som kan ge angripare “nära-allsmäktig kontroll över ett offer enhet.”
De sårbarheter som upptäcktes tidigare i år av forskare från Eclypsium, som en del av en gigantisk projekt som tittade på det allmänna tillståndet för Windows kernel driver säkerhet.
Under sommaren, Eclypsium forskare presenterade sina resultat vid DEF CON 27 security conference i Las Vegas. På den tiden, de lämnas över 40 sårbarheter i kärnan förare från 20 olika leverantörer hårdvara.
De gjorde endast allmän information om 39 kärnan förare, hålla tillbaka lämna ut några frågor som ännu inte hade åtgärdats.
Två av dessa frågor hade fasta tre dagar senare efter Eclypsium är DEF CON prata [PDF], den 13 augusti, när Intel utgivna korrigeringar för Intel-Processor Identifiering Verktyg och Intel Computing Program för Förbättring.
Fixar för Intels PMx driver rulla ut idag
“En annan förare som hölls under embargo på grund av komplexiteten i frågan var Intel PMx-Drivrutin (som också heter PMxDrv),” den Eclypsium laget sa i ett blogginlägg i dag.
“Under vår analys av Intel PMx driver, vi fann det vara otroligt duktiga, som innehåller en delmängd av alla de resurser som vi hade sett tidigare.”
Enligt forskare, är detta kärnan föraren kan
● Läsa/Skriva till fysiskt minne
● Läsa/Skriva till Modellen Särskilda Register (MSR)
● Läsa/Skriva för att styra register
● Läsa/Skriva för att avbryta descriptor table (IDT) och den globala descriptor table (GDT)
● Läsa/skriva för att felsöka register
● Godtyckligt få i/O-tillgång
● Godtyckligt att få PCI-fi
Som Eclypsium forskare berättade ZDNet i en intervju tillbaka i augusti, alla dessa legitima PMx driver funktioner som skulle kunna missbrukas av skadlig kod körs på en infekterad dator.
Normalt skulle en angripare behöver admin-rättigheter för att få tillgång till en kärndrivrutin funktioner, men Eclypsium sade att många leverantörer hade misslyckats med att skydda kärnan förare enligt säkra programmering, och låta separata appar för att ringa kernel driver funktioner utan några begränsningar.
Så var fallet för Intels PMx föraren.
Att göra saken värre, detta är en av de mest populära och mest använda kärnan förare i tillvaron. Föraren har en gemensam komponent i många Intel MIG och BIOS-relaterade verktyg att Intel har släppt under de senaste två decennierna, sedan 1999.
Till exempel, en av de platser du ska hitta drivrutinen är en “upptäckt av” att Intel släppt 2017 för att hjälpa systemadministratörer att identifiera om sina arbetsstationer och servrar som var utsatta för ett större fel i Intel Management Engine.
När man nått ut för en kommentar, Intel berättade ZDNet via e-post att de kommer att släppa idag uppdaterade versioner av pmxdrvx64.sys och pmxdrv.sys PMx driver filer för att begränsa de potentiella säkerhetshot.
Men som vi har sett i det förflutna med många produkter, det kommer att ta några månader, om inte år, för dessa patchar för att nå de flesta av Intel befolkningen.
Sammanfattning av den “Skruvade Förare” forskning
För ZDNet läsare som inte var medvetna om den allmänna fråga som vi först täckt i augusti, nedan är en sammanfattning med de viktigaste detaljerna att de måste vara medvetna, tillsammans med användbara länkar:
Eclypsium funnit att många kärnan förare, tänkt att ge hårdvarukomponenter för att interagera med OS-kärnan, var också så att appar för att vidarebefordra kommandon till kärnan, utan garantier.En lista över “oskyddade kärndrivrutiner” finns här.En lista över allmänna säkerhetsbulletiner är här. Endast Intel och Huawei har gjort de säkerhetsbrister som offentliga, medan de flesta leverantörer valde att lugnt patch påverkade förare.Insyde kontaktade Microsoft och begärt att de utsatta version av sitt kernel driver blockeras på OS nivå av Windows Defender.Microsoft sa att det skulle vara med sin HVCI (Hypervisor-verkställas Kod Integritet) förmåga att svartlista utsatta förare som rapporteras till dem.Windows HVCI funktion fungerar endast på system med en 7: e gen Intel-PROCESSOR, och är i allmänhet inte tillgängliga på alla Windows-system. Manuell korrigering kan fortfarande behövas i de allra flesta fall.Listan av påverkade förare leverantörer är som följer (tre säljaren namn har ännu inte offentliggjorts, eftersom de jobbar fortfarande på lagning):
● American Megatrends International (AMI)
● ASRock
● ASUSTeK Computer
● ATI Technologies (AMD)
● Biostar
● EVGA
● Getac
● GIGABYTE
● Huawei
● Insyde
● Intel
● Micro-Star International (MSI)
● NVIDIA
● Phoenix Technologies
● Realtek Semiconductor
● SuperMicro
● Toshiba
Säkerhet
BlueKeep utnyttja för att få en fix för sin BSOD problem
Stora ASP.NET webbhotellet smittad av ransomware
Apple Post på macOS lämnar delar av krypterad e-post i klartext
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter