![Araştırmacılar 34 Windows Sürücüsünün Tam Aygıt Devralınmasına Karşı Savunmasız Olduğunu Buldu](https://kilalu.blog/news/2024-07-29-19:53/Araştırmacılar 34 Windows Sürücüsünün Tam Aygıt Devralınmasına Karşı Savunmasız Olduğunu Buldu.jpg)
02 Kasım 2023Haber odasıUç Nokta Güvenliği / Kötü Amaçlı Yazılım
34’e kadar benzersiz savunmasız Windows Sürücü Modeli (WDM) ve Windows Sürücü Çerçeveleri (WDF) sürücüler, ayrıcalıklı olmayan tehdit aktörleri tarafından cihazların tam kontrolünü ele geçirmek ve temel sistemlerde rastgele kod yürütmek için kullanılabilir.
“Ayrıcalığı olmayan bir saldırgan, sürücüleri kullanarak aygıt yazılımını silebilir/değiştirebilir ve/veya donanım yazılımını yükseltebilir [operating system] ayrıcalıklar”, VMware Carbon Black’in kıdemli tehdit araştırmacısı Takahiro Haruyama, söz konusu.
araştırma gibi daha önceki çalışmaları genişletir. Vidalı Sürücüler Ve patlamış mısır kullanılan sembolik yürütme savunmasız sürücülerin tespitini otomatikleştirmek için. Özellikle bağlantı noktası G/Ç ve bellek eşlemeli G/Ç aracılığıyla ürün yazılımı erişimi içeren sürücülere odaklanır.
Güvenlik açığı bulunan sürücülerden bazılarının adları arasında AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys ve TdkLib64.sys (CVE-2023-35841).
![Cihaz Devralma Cihaz Devralma](https://teknomers.com/wp-content/uploads/2023/11/1698963819_854_Arastirmacilar-34-Windows-Surucusunun-Tam-Aygit-Devralinmasina-Karsi-Savunmasiz-Oldugunu.jpg)
34 sürücüden altısı, ayrıcalığı yükseltmek ve güvenlik çözümlerini alt etmek için kötüye kullanılabilecek çekirdek belleği erişimine izin veriyor. Sürücülerden on ikisinden yararlanılabilir güvenlik mekanizmalarını yıkmak çekirdek adres alanı düzeni rastgeleleştirmesi gibi (KASLR).
Intel’in stdcdrv64.sys dosyası da dahil olmak üzere sürücülerden yedisi, bellenimi silmek için kullanılabilir. SPI flash bellek, sistemi önyüklenemez hale getirir. Intel o zamandan beri soruna yönelik bir düzeltme yayınladı.
VMware ayrıca, erişim kontrolü açısından savunmasız olmayan ancak ayrıcalıklı tehdit aktörleri tarafından Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı olarak adlandırılan saldırıyı gerçekleştirmek için önemsiz bir şekilde silah haline getirilebilecek WDTKernel.sys ve H2OFFT64.sys gibi WDF sürücülerini de tanımladığını söyledi. .
Bu teknik, Kuzey Kore bağlantılı Lazarus Grubu da dahil olmak üzere çeşitli rakipler tarafından, yüksek ayrıcalıklar elde etmenin ve tespit edilmekten kaçınmak için tehlikeye atılmış uç noktalarda çalışan güvenlik yazılımlarını devre dışı bırakmanın bir yolu olarak kullanıldı.
“Tarafından hedeflenen API’lerin/talimatların mevcut kapsamı [IDAPython script for automating static code analysis of x64 vulnerable drivers] Haruyama, dar ve yalnızca ürün yazılımı erişimiyle sınırlı olduğunu söyledi.
“Ancak kodu diğer saldırı vektörlerini kapsayacak şekilde genişletmek kolaydır (örn. keyfi süreçlerin sonlandırılması).”
Popular Articles
- 20 Jul Mutlaka Çözüm Bulunmalıdır!
- 12 Jul İzmir açıklarında 54 düzensiz göçmen yakalandı
- 28 Jul Simpsonlar Hillary Clintona Oy Vereceklerini Açıkladılar!
- 09 Jul İçinizi Güneş Gibi Isıtarak Haftanızın Harika Geçmesini Sağlayacak 15 Paylaşım
- 25 Jul Bira Kralı Susuzluktan Öldü İddiası
Latest Articles
- 19 Jul Düşünmesi Bile Korkutucu: Atatürk Hiç Var Olmasaydı Nasıl Bir Türkiye Bizi Bekliyor Olurdu?
- 16 Aug Kanye West’in Özel(!) Kıyafet Koleksiyonunu Çöp Poşetinde Satışa Sunması Sosyal Medyada Alay Konusu Oldu [Video]
- 20 Jul Chromium Tabanlı Edge, Yakında Windows 10un Ana Tarayıcısı Olacak
- 11 Jul Google Şeffaflık Raporunu yayınladı Türkiyeden gelen isteklerde yüzde 966 artış var
- 16 Jul Kocasını ikna etti, hamile kalma tehlikesi sona erdi: Çocuk defteri kapandı
Other Articles
- Tor ağları, DDoS saldırıları dalgası tarafından vuruldu
- Hulusi Akardan intikam yemini: Sözümü tutmadan Allah canımı almasın
- Uykunuzdan ödün vermeden Noel partisi sezonunda nasıl hayatta kalabilirsiniz?
- Apple Pencilı Diğer iOS Cihazlarında Kullanmanızı Sağlayacak Hile
- Turkey In Context With The Global Internet [Summit 2010]