Windows Driver Vulnerabilities Exposed at DefCon Security Conference

第27回年次DefConコンピューターセキュリティ会議で、Eclypsiumを使用する研究者は、さまざまなWindowsドライバーで発見した深刻な脆弱性を明らかにしました。レポートで概説された主な欠陥は、ドライバーがシステムのユーザースペース部分で低い権限で実行されているアプリケーションにシステムカーネルへの不当なアクセスを許可することでした。ドライバーは、Microsoft Officeなどの通常のソフトウェアとは異なるレベルで動作するため、レポートに記載されている数十個のドライバーの設計上の欠陥により、悪意のある人物がすり抜けて、ドライバーの設計の欠陥を悪用し、完全なアクセスを得ることができました侵害されたシステムに。問題のあるドライバーはすべて、Microsoftによってデジタル署名されたドライバーでした。

DefConパネルのEclypsiumの研究者の1人であるMickey Shkatovは、結果として生じるドライバーの欠陥は、ハードウェアメーカーの一部の不十分なコーディング慣行と、潜在的なセキュリティ問題に対する不十分な注意に起因しました。 Shkatovは、ドライバーは、提供する非常に特定の目的に厳密に制限されるのではなく、「ユーザー空間に代わって任意のアクションを実行できる」方法でコード化されることが多くなっていると説明しました。

研究者はこれを非常に深刻な問題として概説しました。一方で、ハードウェアメーカーは、Microsoftがドライバーにデジタル署名する前にこの種の問題を探していると仮定している一方で、Microsoftはベンダーが安全なコードを使用することを期待しているためリリース。

影響を受けるドライバのリストに載ったハードウェアベンダーには、NVidia、AsusTek、AMD、EVGA、Gigabyte、Intel、Toshibaなどのビッグネームが含まれています。これらのベンダーはすべて、調査チームから通知を受けており、ドライバーの更新をプッシュしています。脆弱なドライバーを実行しているシステムへの潜在的な損害をさらに減らすために、MicrosoftはWindows 10 Hypervisor Code Integrity（HVCI）機能を活用して、報告された問題のあるドライバーをブラックリストに載せます。

ドライバーの問題に対する過度のパニックは保証されません。研究者が指摘したように、システムのカーネルにアクセスするには、悪いアクターがターゲットシステムを事前に侵害している必要があります-ドライバー自体をエントリポイントとして使用することはできませんが、システムに既に侵入している俳優は掘ることができます。