Afbeelding: Artiom Vallat, Intel
Intel vrijgegeven vandaag een bijgewerkte versie van de PMx-stuurprogramma op te lossen een set van kwetsbaarheden die kunnen verlenen aanvallers “in de buurt-de almachtige controle over een slachtoffer van een apparaat.”
De kwetsbaarheden ontdekt werden eerder dit jaar door onderzoekers van Eclypsium, als onderdeel van een mammoet project gekeken naar de algemene staat van de Windows-kernel stuurprogramma beveiliging.
In de zomer, Eclypsium onderzoekers presenteerden hun bevindingen op de DEF CON 27 security conference in Las Vegas. Op het moment dat ze bekend gemaakt meer dan 40 kwetsbaarheden in de kernel stuurprogramma ‘ s van 20 verschillende hardware leveranciers.
Ze maakte alleen de openbare gegevens over 39 kernel stuurprogramma ‘ s, holding terug op het rapporteren van een aantal zaken die nog moest worden vastgesteld.
Twee van die problemen zijn opgelost drie dagen later na Eclypsium DEF CON praten [PDF], op 13 augustus, toen Intel de vrijgegeven correcties voor de Intel-Processor Identificatie en het Hulpprogramma Intel Computing Programma voor Verbetering.
Correcties voor Intel ‘ s PMx stuurprogramma van de uitrol van vandaag
“Een andere chauffeur die werd gehouden onder embargo vanwege de complexiteit van het probleem is de Intel PMx-Stuurprogramma (ook genoemd PMxDrv),” de Eclypsium team zei in een blog post van vandaag.
“Tijdens onze analyse van de Intel PMx chauffeur, wij vonden het ongelooflijk staat, met een superset van alle mogelijkheden die we eerder had gezien.”
Volgens de onderzoekers is dit kernel stuurprogramma kan
● Lezen/Schrijven naar het fysieke geheugen
● Lees/Schrijf-Model Specifieke Registers (MSR)
● Lees/Schrijf control registers
● Lezen/Schrijven naar de interrupt descriptor table (IDT) en de global descriptor table (GDT)
● Lees/schrijf-foutopsporing registers
● Willekeurig krijgen I/O-toegang
● Willekeurig krijgen PCI toegang
Als Eclypsium onderzoekers vertelde ZDNet in een interview terug in augustus, al deze legitieme PMx bestuurder heeft misbruikt zouden kunnen worden door schadelijke code die wordt uitgevoerd op een geïnfecteerde computer.
Normaal gesproken, een aanvaller moet admin rechten om toegang te krijgen tot een kernel driver-functies, maar Eclypsium zei dat veel leveranciers had gefaald bij het beschermen van de kernel stuurprogramma ‘ s volgens het veilig programmeren praktijken, en waren die gebruikersruimte apps te bellen kernel driver functies, zonder enige beperkingen.
Dat was bijvoorbeeld het geval voor Intel ‘ s PMx-stuurprogramma.
Nog erger, dit is een van de meest populaire en meest gebruikte kernel stuurprogramma ‘ s in het bestaan. De driver is een gemeenschappelijke component van vele Intel ME-en BIOS-gerelateerde hulpprogramma ‘ s die Intel is het loslaten van de afgelopen twee decennia, sinds 1999.
Bijvoorbeeld, een van de plaatsen vindt u het stuurprogramma is een “hulpprogramma” dat Intel uitgebracht in 2017 naar help-systeem beheerders identificeren als hun werkstations en servers kwetsbaar waren voor een grote bug in de Intel Management Engine.
Wanneer bereikt voor commentaar, Intel vertelde ZDNet via e-mail dat ze het vrijgeven van vandaag bijgewerkte versies van de pmxdrvx64.sys en pmxdrv.sys PMx-stuurprogramma bestanden te verminderen potentiële bedreigingen van de veiligheid.
Echter, zoals we hebben gezien in het verleden met vele producten, het duurt een paar maanden, zo niet jaren, voor deze patches te bereiken de meeste van de Intel bevolking.
Overzicht van de “Geschroefd Stuurprogramma ‘s” onderzoek
Voor ZDNet lezers die niet op de hoogte waren van het algemene probleem dat we voor het eerst behandeld in augustus, hieronder staat een overzicht met de belangrijkste informatie die ze nodig hebben om bewust, samen met nuttige links:
Eclypsium gevonden dat veel kernel stuurprogramma ‘ s, bedoeld om de hardware componenten om te communiceren met de OS kernel, werden ook de mogelijkheid apps te geven opdrachten aan de kernel, zonder waarborgen.Een lijst van “onbeschermde kernel drivers” is hier beschikbaar.Een lijst van de openbare veiligheid adviezen is hier. Alleen Intel en Huawei, maakte de beveiligingsfouten publiek, terwijl de meeste leveranciers gekozen om rustig patch beïnvloed stuurprogramma ‘ s.Insyde contact opgenomen met Microsoft en vroeg dat de kwetsbare versie van hun kernel driver worden geblokkeerd op het niveau van het BESTURINGSSYSTEEM door Windows Defender.Microsoft zei dat het zou worden met behulp van haar HVCI (Hypervisor afgedwongen Code Integriteit) toe aan een zwarte lijst kwetsbaar stuurprogramma ‘ s die zijn gemeld aan hen.De Windows HVCI functie werkt alleen op systemen met een 7e generatie Intel CPU, en is over het algemeen niet beschikbaar op alle Windows systemen. Handmatig patchen kan nog steeds nodig zijn in de overgrote meerderheid van de gevallen.De lijst van getroffen stuurprogramma leveranciers is als volgt (drie verkoper namen zijn nog niet openbaar is gemaakt, omdat ze nog bezig met het patchen):
● American Megatrends International (AMI)
● ASRock
● ASUSTeK Computer
● ATI Technologies (AMD)
● Biostar
● EVGA
● Getac
● GIGABYTE
● Huawei
● Insyde
● Intel
● Micro-Star International (MSI)
● NVIDIA
● Phoenix Technologies
● Realtek Semiconductor
● SuperMicro
● Toshiba
Veiligheid
BlueKeep benutten om een fix te krijgen voor de BSOD probleem
De grote ASP.NET hosting provider geïnfecteerd met ransomware
Apple Mail op macOS bladeren delen van versleutelde e-mails in leesbare tekst
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters