A Unidade de Análise de Ameaças (TAU) do VMware Carbon Black identificou dezenas de drivers de kernel vulneráveis anteriormente desconhecidos que poderiam ser explorados por invasores para alterar firmware ou aumentar privilégios.
Não é incomum que agentes de ameaças, incluindo cibercriminosos e grupos patrocinados pelo Estado, abusem de drivers de kernel em suas operações. Esses drivers podem permitir que hackers mal-intencionados manipulem processos do sistema, mantenham a persistência em um sistema e evitem produtos de segurança.
O TAU da VMware coletou cerca de 18.000 amostras de drivers do Windows do VirusTotal usando uma regra Yara. Depois de excluir drivers que já eram conhecidos por serem vulneráveis, os pesquisadores identificaram algumas centenas de hashes de arquivos associados a 34 drivers vulneráveis únicos e anteriormente desconhecidos.
A análise teve como alvo os drivers Windows Driver Model (WDM) e Windows Driver Framework (WDF), e a empresa publicou uma lista de nomes de arquivos associados aos drivers problemáticos. Alguns dos drivers pertencem aos principais fabricantes de BIOS, PC e chips.
Cada um desses drivers pode permitir que invasores com privilégios que não sejam do sistema obtenham controle total do dispositivo visado.
“Ao explorar os drivers vulneráveis, um invasor sem privilégios de sistema pode apagar/alterar firmware e/ou elevar privilégios”, disse a VMware em uma postagem no blog. descrevendo sua pesquisa.
Os desenvolvedores dos drivers vulneráveis foram notificados na primavera de 2023, mas a VMware disse que apenas dois deles corrigiram as vulnerabilidades, nomeadamente Phoenix Technologies e Advanced Micro Devices.
A VMware desenvolveu explorações de prova de conceito (PoC) para vários drivers vulneráveis, para mostrar como eles podem ser explorados para apagar firmware ou para escalonamento de privilégios.
A empresa também disponibilizou um Script IDAPython que era usado para automatizar a busca por drivers WDM e WDF vulneráveis.
: