您的位置: 首页 >泉州新闻 > 科技 >

英特尔PMx驱动程序中的缺陷提供了 对受害设备的几乎全能控制

2019-11-20 15:30:35 来源:

英特尔今天发布了其PMx驱动程序的更新版本,以修复一组漏洞,这些漏洞可能使攻击者“完全控制受害设备”。

漏洞是由Eclypsium的研究人员于今年早些时候发现的,它是一个庞大的项目的一部分,该项目研究了Windows内核驱动程序安全性的总体状况。

整个夏天,Eclypsium研究人员在拉斯维加斯举行的DEF CON 27安全会议上介绍了他们的发现。当时,他们披露了来自20个不同硬件供应商的内核驱动程序中的40多个漏洞。

他们只公开了有关39个内核驱动程序的详细信息,而没有透露一些尚待解决的问题。

8月13日Eclypsium的DEF CON演讲[ PDF ] 之后三天,当英特尔发布了针对英特尔处理器识别实用程序和英特尔计算改进计划的修复程序时,其中两个问题已得到解决。

英特尔PMX驱动程序今天发布的修复

Eclypsium团队在今天的博客中说: “由于问题的复杂性,另一个被禁运的驱动程序是Intel PMx驱动程序(也称为PMxDrv)。”

“在对英特尔PMx驱动程序进行分析时,我们发现它具有令人难以置信的功能,其中包含我们之前看到的所有功能的超集。”

TechRepublic Premium提供的下载

据研究人员称,该内核驱动程序可以

●读/写到物理内存

●读/写到模型特定寄存器(MSR)

●读/写到控制寄存器

●读/写到中断描述符表(IDT)和全局描述符表(GDT)

●读/写到调试寄存器

●任意获得I / O访问权限

●任意获得PCI访问权限

正如Eclypsium的研究人员在八月的一次采访中告诉ZDNet一样,所有这些合法的PMx驱动程序功能都可能被受感染机器上运行的恶意代码滥用。

通常,攻击者需要管理员权限才能访问内核驱动程序的功能,但Eclypsium表示,许多供应商未能根据安全的编程习惯来保护内核驱动程序,并且允许用户空间应用程序无任何限制地调用内核驱动程序功能。

英特尔的PMx驱动程序就是这种情况。

更糟糕的是,这是现有的最流行且使用最广泛的内核驱动程序之一。自1999年以来,在过去的二十年中,该驱动程序一直是许多与Intel ME和BIOS相关的工具的通用组件。

例如,找到驱动程序的地方之一是英特尔于2017年发布的“ 检测工具 ”,以帮助系统管理员确定其工作站和服务器是否容易受到英特尔管理引擎中主要漏洞的攻击。

寻求评论时,英特尔通过电子邮件告诉ZDNet,他们将在今天发布pmxdrvx64.sys和pmxdrv.sys PMx驱动程序文件的更新版本,以减轻任何潜在的安全威胁。

但是,就像我们过去看到的许多产品一样,这些补丁要花费数月甚至数年的时间,才能覆盖大多数英特尔用户群。

“螺丝起子”研究摘要

对于不了解我们八月首次讨论的一般问题的ZDNet读者,以下是摘要,其中包含他们需要了解的最重要的细节以及有用的链接:

Eclypsium发现,许多旨在允许硬件组件与OS内核进行交互的内核驱动程序,也允许应用程序在没有任何保护措施的情况下将命令中继到内核。

此处提供了“不受保护的内核驱动程序”列表。

公共安全咨询清单在这里。只有英特尔和华为公开了安全漏洞,而大多数供应商都选择静默修补受影响的驱动程序。

Insyde与Microsoft联系,要求Windows Defender在操作系统级别阻止其内核驱动程序的漏洞版本。

微软表示将使用其HVCI(由管理程序强制执行的代码完整性)功能将报告给他们的易受攻击的驱动程序列入黑名单。

Windows HVCI功能仅在具有第七代Intel CPU的系统上起作用,并非在所有Windows系统上都普遍可用。在绝大多数情况下,仍可能需要手动修补。

精彩推荐

图文推荐

点击排行

Copyright 泉州广播网 All Rights Reserved 版权所有 复制必究 联系QQ:3438 456 070

所刊载内容之知识产权为界限网络及/或相关权利人专属所有或持有。未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用。