情報セキュリティ企業の Eclypsium がサードパーティの Windows ハードウェア ドライバーの広範なセキュリティ上の脆弱性を指摘してから約 3 か月が経ち、強力な低レベル コードにセキュリティ上の欠陥を残しているベンダーのリストに Intel が加わった。
Eclypsium は、8 月の DEF CON プレゼンテーションのフォローアップ レポートで、サードパーティ製のカーネル モード ドライバーが依然として脆弱であるだけでなく、広く使用されている Intel ドライバーにも同じ脆弱性が多数含まれていることを発見しました。
ジェシー・マイケル氏とミッキー・シュカトフ氏のカンファレンス講演で指摘されたように、ドライバの脆弱性は大きなリスクとなります。なぜなら、ドライバのコードは通常、オペレーティングシステムの最下層で実行され、周辺機器、ストレージ、アプリケーションにアクセスするため、悪用されると、悪意のある人物にマシンを完全に制御されてしまうからです。また、ドライバはMicrosoftによって承認されているため、オペレーティングシステムによって信頼されています。
これらはリモートから悪用可能な欠陥ではないことに注意する必要があります。ハッカーが脆弱なドライバーにアクセスするには、すでにローカルでコードを実行している必要があります。
現在、Eclypsium 社は、当初のレポートでは伏せていた、Intel 製の 3 つのドライバーの詳細を発表できると発表しています。
脆弱性のあるドライバのうち2つは、Intelによって8月にひっそりとパッチが公開されました。しかし、3つ目のドライバであるIntel PMxDrvは、クリーンアップがはるかに困難であることが判明しました。今週火曜日、Chipzillaはようやくパッチをリリースすることができ、Eclypsiumもこのバグを報告する権限を得ました。
研究チームによると、このドライバにアクセスできる攻撃者は、メモリへのコードの挿入から I/O および PCI コントローラへのアクセスまで、あらゆる操作を実行でき、実質的に非常に低いレベルでマシンを完全に制御できるようになります。
「このレベルのアクセスにより、攻撃者は標的のデバイスをほぼ全能に制御できるようになります」とEclypsiumは説明しています。「同様に重要なのは、この機能が1999年以降、多くのIntel MEおよびBIOS関連ツールセットの主要コンポーネントとして組み込まれていることです。」
ユーザーと管理者は、できるだけ早くパッチを適用したバージョンのドライバーをダウンロードしてインストールすることをお勧めします。
研究者らは、これらのIntel製ドライバが更新された後でも、ユーザーは他のドライバによるリスクに晒される可能性があると指摘しています。特に危険な例として、OpenHardwareMonitorライブラリに含まれるコンポーネントであるWinRing0が挙げられます。このドライバは、ローカル権限昇格攻撃に対して脆弱であるだけでなく、開発者によって20種類以上の異なる名前で広く使用されています。
インテル:NUCのバカども、よく聞きなさい!ミニPCとスティック型コンピューティングに重大なセキュリティ修正が加えられました
続きを読む
このドライバーは信頼されており、広く普及しているため、管理者とユーザーは、悪質なユーザーがこのドライバーを悪用する前に、ソフトウェアにパッチを適用しようと競い合っています。
「上で述べた重要な問題のひとつは、これまでに特定されている不良ドライバが Windows に読み込まれるのを防ぐための普遍的に適用可能な方法が存在しないということだ」と Eclypsium は指摘している。
研究者によると、長期的な解決策が開発中とのことです。マイクロソフトは、仮想化技術を用いてドライバーを機密性の高いシステムプロセスから分離するHVCIと呼ばれるセキュリティツールを展開しています。残念ながら、導入にはしばらく時間がかかる見込みです。
「HVCI には、第 7 世代以降のプロセッサ、モードベースの実行制御などの新しいプロセッサ機能が必要であり、多くのサードパーティ製ドライバーではサポートされていません」と研究者らは説明しています。
「その結果、現在使用されている多くのデバイスは HVCI を有効にできず、保護されなくなります。」
その間、ユーザーと管理者は、信頼できないソースからのソフトウェアを避け、ファームウェアとドライバーが完全に最新の状態であり、パッチが適用されていることを確認することで、できる限り自分自身を保護することをお勧めします。®