Tại hội thảo bảo mật DEF CON 27 diễn ra vào hôm nay tại Las Vegas, các nhà nghiên cứu bảo mật đến từ Eclypsium đã có một buổi nói chuyện về các lỗ hổng thiết kế phổ biến mà họ phát hiện ra trên hơn 40 kernel driver đến từ 20 nhà sản xuất phần cứng khác nhau.
Các lỗ hổng thiết kế phổ biến được nhắc đến ở đây cho phép các ứng dụng có quyền ưu tiên thấp sử dụng các chức năng driver của chính chúng để thực hiện các hành động mờ ám trong những khu vực nhạy cảm nhất của hệ điều hành Windows, như nhân Windows chẳng hạn.
"Có một lượng lớn các tài nguyên phần cứng thường chỉ có thể truy cập bởi các phần mềm được ưu tiên, như nhân Windows, và cần được bảo vệ khỏi các hành vi đọc/ghi nguy hiểm đến từ các ứng dụng người dùng" - Mickey Shkatov, nhà nghiên cứu tại Eclypsium nói.
"Lỗ hổng thiết kế lộ diện khi các driver đã được ký cung cấp những chức năng có thể bị lợi dụng bởi các ứng dụng người dùng nhằm thực hiện các lệnh đọc/ghi toàn quyền lên các tài nguyên nhạy cảm kia mà không gặp bất kỳ sự giới hạn hoặc kiểm tra nào từ Microsoft" - ông nói thêm.
Shkatov nói những vấn đề mà ông phát hiện ra có nguyên nhân xuất phát từ việc viết mã quá tệ, không quan tâm đến vấn đề bảo mật trong quá trình lập trình phần mềm.
"Đây là một hành vi thiết kế phần mềm trái quy chuẩn khá phổ biến, khi mà thay vì để cho driver chỉ thực hiện được những tác vụ cụ thể, chúng lại được viết theo một cách linh hoạt để tùy ý thực thi các hành động dưới danh nghĩa người dùng"
"Phát triển phần mềm bằng cách cấu trúc driver và ứng dụng như vậy sẽ dễ dàng hơn, nhưng nó lại mở cửa hệ thống cho kẻ khác lợi dụng".
Các nhà sản xuất bị ảnh hưởng bởi các lỗ hổng thiết kế
Shkatov cho biết công ty của ông đã thông báo đến từng nhà sản xuất phần cứng có driver dính lỗ hổng, cho phép các ứng dụng người dùng chạy mã kernel. Các nhà sản xuất đã đưa ra các bản cập nhật vá lỗi được liệt kê dưới đây:
- American Megatrends International (AMI)
- ASRock
- ASUSTek Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
"Một số nhà sản xuất, như Intel và Huawei, đã tung ra các bản cập nhật. Một vài trong số này là các IBV (các nhà sản xuất BIOS độc lập) như Phoenix và Insyde, cũng sắp tung ra các bản cập nhật đến các khách hàng OEM của họ" - Shkatov nói.
Nhà nghiên cứu của Eclypsium cho biết ông không nêu tên toàn bộ các nhà sản xuất bị tác động bởi lỗ hổng, bởi một số "cần thêm thời gian vì những tình huống đặc biệt", và các bản vá và hướng dẫn sẽ được tung ra trong tương lai.
Ông còn cho biết sẽ đăng tải danh sách các driver bị ảnh hưởng cùng hash của chúng trên GitHub sau buổi nói chuyện để người dùng và các quản trị viên hệ thống có thể chặn các driver bị ảnh hưởng.
Bên cạnh đó, Shkatov còn nói rằng Microsoft sẽ sử dụng HVCI (Hypervisor-enforced Code Integrity) để đưa các driver được báo cáo lên họ vào một danh sách đen.
Tuy nhiên, Shkatov khẳng định tính năng HVCI chỉ được hỗ trợ trên các CPU Intel thế hệ thứ 7 trở về sau. Các hệ thống cũ hơn sẽ cần được can thiệp thủ công, và cả các CPU Intel mới hơn nhưng không thể kích hoạt HVCI cũng vậy.
"Nhằm lợi dụng các driver bị ảnh hưởng, kẻ tấn công sẽ cần phải can thiệp vào máy tính trước đó" - Microsoft nói. "Để giúp giảm thiểu loại vấn đề này, Microsoft khuyến cáo khách hàng sử dụng Windows Defender Application Control để chặn những phần mềm và driver bị ảnh hưởng đã biết. Các khách hàng có thể bảo vệ mình tốt hơn bằng cách kích hoạt tính năng bảo vệ bộ nhớ trên các thiết bị có thể kích hoạt trong Windows Security. Microsoft sẽ tích cực hợp tác với các đối tác công nghiệp để giải quyết những lỗ hổng đã được tiết lộ một cách kín đáo và làm việc cùng nhau để bảo vệ các khách hàng."
Tham khảo: ZDNet
Kỹ Thuật Sửa Chữa Linh Kiện Máy Tính
Địa điểm: Hồ Chí Minh
Lương: 8 Tr - 10 Tr VND