Đơn vị phân tích nguy cơ của VMware vừa công bố 34 trình điều khiển kernel (Kernel Driver) dễ bị tin tặc khai thác để sửa đổi firmware và leo thang đặc quyền.
Các chuyên gia TAU đã kiểm tra khoảng 18.000 mẫu trình điều khiển Windows được thu thập thông qua các YARA từ cơ sở dữ liệu VirusTotal. Loại trừ các trình điều khiển dễ bị tấn công đã biết, nhóm nghiên cứu đã xác định được hàng trăm tệp băm được liên kết với 34 trình điều khiển dễ bị tấn công mà chưa được công bố trước đây.
Cuộc điều tra bao gồm các trình điều khiển từ Windows Driver Model (WDM) và Windows Driver Framework (WDF), đồng thời danh sách tên tệp liên quan đến các trình điều khiển có lỗ hổng được công bố, bao gồm các sản phẩm từ các nhà sản xuất BIOS, PC và chip hàng đầu.
Việc khai thác bất kỳ trình điều khiển nào trong số này có thể cho phép kẻ tấn công không có đặc quyền hệ thống giành quyền kiểm soát hoàn toàn thiết bị mục tiêu.
Blog của VMware cho biết : “ Bằng cách khai thác các trình điều khiển dễ bị tấn công, kẻ tấn công không có đặc quyền hệ thống có thể xóa/thay đổi chương trình cơ sở và/hoặc nâng cao các đặc quyền ”.
Các nhà phát triển trình điều khiển dễ bị ảnh hưởng đã được thông báo vào mùa xuân năm 2023; tuy nhiên, chỉ có hai—Phoenix Technologies và Advanced Micro Devices (AMD)—đã giải quyết được các lỗ hổng .
VMware đã công bố POC cho một số trình điều khiển dễ bị tấn công để chứng minh húng bị lạm dụng xóa firmware hoặc leo thang đặc quyền. Công ty cũng đã cung cấp tập lệnh IDAPython được sử dụng để tự động phát hiện các trình điều khiển WDM và WDF dễ bị tấn công.