在40多个Windows驱动程序中发现权限升级漏洞

网络安全公司Eclipsisim的研究人员透露，来自20个微软认证的硬件供应商的40个不同的驱动程序包含较差的代码，这些代码可能被用来升级特权攻击。
在今年拉斯维加斯的DEF CON会议上，Eclipsisim发布了受影响的主要BIOS供应商和硬件制造商名单，包括华硕、华为、英特尔、NVIDIA和东芝。
驱动程序影响所有版本的Windows，这意味着数百万人处于危险之中。驱动程序可能允许恶意应用程序在用户级获得内核特权，从而获得对固件和硬件的直接访问。
恶意软件可以直接安装到固件中，所以重新安装操作系统甚至不是解决方案。

所有这些漏洞允许驱动程序充当代理，以执行对硬件资源的高度特权访问，例如对处理器和芯片组I/O空间的读写访问、模型特定寄存器（MSR）、控制寄存器（CR）、调试寄存器（DR）、物理存储器和内核虚拟存储器。这是特权升级，因为它可以将攻击者从用户模式（环3）移动到OS内核模式（环0）。保护环的概念概括在下面的图像中，其中每个内环被授予越来越多的特权。重要的是要注意，即使管理员与其他用户一起运行在环3（并且没有更深）。对内核的访问不仅可以给攻击者提供对操作系统可用的最特权访问，还可以授予对具有更高特权的硬件和固件接口的访问，例如系统BIOS固件。

如果一个脆弱的驱动程序已经存在于系统上，恶意的应用程序只需要搜索它来提升特权。如果驱动程序不存在，恶意应用程序可以给驱动程序带上它，但需要管理员批准来安装它们。

驱动程序不仅提供必要的特权，而且提供改变的机制。

In a statement to ZDNet, Mickey Shkatov, Principal Researcher at Eclypsium mentioned:

微软将使用其HVCI（Hyvistor强制代码完整性）的能力黑名单司机报告给他们。

这一特性仅适用于第七代和后来的英特尔处理器；因此，旧的CPU或新的HCVI禁用的驱动器需要手动卸载驱动程序。
微软还补充说：

为了利用易受攻击的驱动程序，攻击者将需要已经危及计算机。

攻击者在环3特权级别中破坏了系统，则可以获得内核访问。
微软发布了这样的建议：

（Windows）防御器应用程序控制来阻止未知的易受攻击的软件和驱动程序。 客户可以通过在Windows安全性中启用有能力设备的内存完整性来进一步保护自己

这是所有已经更新了驱动程序的供应商的完整列表：
 阿斯洛克
 华硕电脑
 ATI Technologies (AMD)
 映泰
 EVGA
 吉达电通
 技嘉
 华为
 台湾系微
 因特尔
 Micro-Star International (MSI)
 恩维迪亚
 Phoenix Technologies
 瑞昱半导体
 超微型
 东芝