Có tới 34 Windows Driver Model (WDM) và Windows Driver Frameworks (WDF) dễ bị tấn công, có thể bị các tác nhân đe dọa [không có đặc quyền] khai thác để giành toàn quyền kiểm soát thiết bị và thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Takahiro Haruyama, chuyên gia nghiên cứu mối đe dọa tại VMware Carbon Black, cho biết: “Bằng cách khai thác các trình điều khiển (driver), kẻ tấn công không có đặc quyền có thể xóa/thay đổi firmware và/hoặc nâng cao đặc quyền [hệ điều hành]”.
Nghiên cứu này mở rộng dựa trên các nghiên cứu trước đây, bao gồm ScrewedDrivers và POPKORN – trong đó các nhà nghiên cứu đã sử dụng thực thi biểu tượng (symbolic execution) để tự động phát hiện các trình điều khiển dễ bị tấn công. Nó đặc biệt tập trung vào các trình điều khiển có chứa quyền truy cập firmware thông qua cổng I/O và I/O được ánh xạ bộ nhớ.
Tên của một số trình điều khiển dễ bị tấn công bao gồm AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys và TdkLib64.sys (CVE-2023-35841).
Trong số 34 trình điều khiển, sáu trình điều khiển cho phép truy cập bộ nhớ kernel có thể bị lạm dụng để nâng cao đặc quyền và vượt qua các giải pháp bảo mật. Mười hai trình điều khiển có thể bị khai thác để phá vỡ các cơ chế bảo mật như ngẫu nhiên hóa bố cục không gian địa chỉ kernel (KASLR).
Bảy trong số các trình điều khiển, bao gồm stdcdrv64.sys của Intel, có thể bị lạm dụng để xóa firmware trong bộ nhớ flash SPI, khiến hệ thống không thể khởi động được. Intel đã đưa ra bản vá lỗi cho vấn đề này.
VMware cho biết họ cũng xác định các trình điều khiển WDF như WDTKernel.sys và H2OFFT64.sys không dễ bị tấn công về mặt kiểm soát truy cập, nhưng có thể bị các tác nhân đe dọa có đặc quyền lợi dụng để thực hiện tấn công Bring Your Own Vulnerable Driver (BYOVD).
Kỹ thuật này đã được nhiều tác nhân đe dọa sử dụng, bao gồm cả nhóm Lazarus có liên kết với Triều Tiên, để giành được các đặc quyền nâng cao và vô hiệu hóa phần mềm bảo mật chạy trên các thiết bị bị xâm nhập để tránh bị phát hiện.
Nguồn: thehackernews.com.
Tín nhiệm mạng | F5 đang cảnh báo về việc gia tăng các hoạt động khai thác lỗ hổng bảo mật nghiêm trọng dẫn đến việc thực thi các lệnh tùy ý trong BIG-IP chưa đầy một tuần sau khi lỗ hổng được tiết lộ công khai.
Tín nhiệm mạng | Atlassian đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Máy chủ và Data Center Confluence có thể dẫn đến việc mất dữ liệu đáng kể nếu bị kẻ tấn công khai thác.
Tín nhiệm mạng | Một nhà nghiên cứu bảo mật đã công bố mã khai thác cho các thiết bị Wyze Cam v3, cho phép tạo một reverse shell và chiếm quyền điều khiển các thiết bị dễ bị tấn công.
Tín nhiệm mạng | Theo các nhà nghiên cứu gian lận tiền điện tử, tin tặc đã đánh cắp 4,4 triệu đô tiền điện tử vào ngày 25 tháng 10 bằng cách sử dụng các khóa bí mật và mật khẩu được lưu trong cơ sở dữ liệu LastPass bị đánh cắp.
Tín nhiệm mạng | Một số ứng dụng Android độc hại trên Google Play, đã có hơn 2 triệu lượt cài đặt, đang lén lút phát tán các quảng cáo không mong muốn đến người dùng trên các thiết bị bị nhiễm.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện ra một kỹ thuật tấn công kênh bên mới được gọi là iLeakage, hoạt động trên tất cả các thiết bị Apple gần đây và có thể trích xuất thông tin nhạy cảm từ trình duyệt web Safari.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
