现代 Windows 版本支持通过 Windows 驱动程序模型(WDM)和 Windows 驱动程序框架(WDF)编写的设备驱动程序。这两种模式都可被利用来入侵已完全更新的 Windows 安装,从而不受限制地控制易受攻击的系统。
VMware威胁分析部门(TAU)的漏洞猎手发现了34个独特的易受攻击Windows驱动程序,其中237个不同的文件哈希值属于传统设备。尽管其中许多驱动程序的安全证书已被吊销或过期,但各行各业的公司和其他组织仍在使用它们来支持旧硬件。
VMware 的 TAU 通过实施静态分析自动化脚本发现了这个"独特"的攻击向量,发现 30 个 WDM 和 4 个 WDF 驱动程序的固件访问权限可为非管理员用户提供对设备的完全控制。目前,Windows 11系统默认通过"受管理程序保护的代码完整性"(HVCI)功能阻止易受攻击的驱动程序;但是,TAU的分析人员能够在支持HVCI的Windows 11系统上加载新发现的驱动程序,只有5个驱动程序除外。
TAU说,通过利用易受攻击的驱动程序,没有系统权限的恶意行为者可以清除或更改机器的固件、提升访问权限、禁用安全功能、安装抗病毒引导工具包等。以前对易受攻击驱动程序的研究主要集中在较老的 WDM 模式上,但 VMware 分析师也能在较新的 WDF 驱动程序中发现问题。
在发现存在漏洞的驱动程序后,研究人员开发了强大的概念验证(PoC)漏洞,以实际验证他们的发现。一个针对 AMD 驱动程序 (pdfwkrnl.sys) 的 PoC 可以在支持 HVCI 的 Windows 11 操作系统上以"系统完整性级别"运行命令提示符 (cmd.exe),而另一个 PoC 则可以在英特尔 Apollo SoC 平台上提供固件擦除功能(至少是固件自身 SPI 闪存中的前 4KB 数据)。
虽然研究人员已经报告了大量易受攻击的驱动程序,但TAU表示,他们的新分析方法足以发现仍包含有效签名的新驱动程序。微软试图用"禁用名单"的方法来解决易受攻击的驱动程序问题,但TAU提出了一种更全面的方法。
VMware 分析师正在 GitHub 上以开源代码的形式发布他们的脚本和PoC。他们还提供了"仅限于"固件访问的说明,但代码可以很容易地扩展到其他攻击载体。易受攻击驱动程序的 IoC(入侵指标)列表已经公开,可通过"Living Off The Land Drivers watchlist"访问:
