ملخص
تقرير يفيد بأنه تم اكتشاف 34 برنامج تشغيل لنظام التشغيل ويندوز ضعيفة الحماية وعُرضة للاستيلاء الكامل على الجهاز. يمكن للمهاجمين غير المخولين استغلال هذه البرامج للحصول على التحكم الكامل في الأجهزة وتنفيذ رمز تعسفي على الأنظمة الأساسية. ويشير التقرير إلى أن بعض هذه البرامج تحتوي على وصول إلى البرمجيات الثابتة من خلال I/O وذاكرة الوصول المباشر. ومن بين البرامج التي تم اكتشاف ضعفها، يوجد AODDriver.sys وComputerZ.sys وdellbios.sys وGEDevDrv.sys و GtcKmdfBs.sys وغيرها. بعض هذه البرامج يسمح للمهاجمين بالوصول إلى ذاكرة النواة والتلاعب بها، وبعضها الآخر يمكن استغلاله لتجاوز آليات الأمان الأساسية. يمكن أن يؤدي استغلال هذه الثغرات إلى تعطيل الأجهزة أو تعطيل البرامج الأمنية المثبتة عليها. وتم استخدام هذه الفئة من البرامج الضعيفة في هجمات سابقة من قبل مجموعات متنوعة من المهاجمين، مما يعزز الحاجة إلى إصلاحها وتحسين الأمان.


يمكن استغلال ما يصل إلى 34 برنامج تشغيل Windows Driver Model ( WDM ) وWindows Driver Frameworks ( WDF ) من قبل جهات التهديد غير المميزة للحصول على التحكم الكامل في الأجهزة وتنفيذ تعليمات برمجية عشوائية على الأنظمة الأساسية.

وقال تاكاهيرو هاروياما، أحد كبار الباحثين في مجال التهديدات في شركة VMware Carbon Black: "من خلال استغلال برامج التشغيل، قد يقوم مهاجم ليس لديه امتيازات بمسح/تغيير البرامج الثابتة و/أو رفع امتيازات [نظام التشغيل].

يتوسع البحث في الدراسات السابقة، مثل ScrewedDrivers و POPKORN التي استخدمت التنفيذ الرمزي لأتمتة اكتشاف برامج التشغيل الضعيفة. وهو يركز بشكل خاص على برامج التشغيل التي تحتوي على إمكانية الوصول إلى البرامج الثابتة من خلال منفذ الإدخال/الإخراج والإدخال/الإخراج المعين للذاكرة.

تتضمن أسماء بعض برامج التشغيل الضعيفة AODDriver.sys، وComputerZ.sys، وdellbios.sys، وGEDevDrv.sys، وGtcKmdfBs.sys، وIoAccess.sys، وkerneld.amd64، وngiodriver.sys، وnvoclock.sys، وPDFWKRNL.sys (CVE) . -2023-20598 )، RadHwMgr.sys، rtif.sys، rtport.sys، stdcdrv64.sys، وTdkLib64.sys ( CVE-2023-35841 ).

من بين 34 برنامج تشغيل، ستة منها تسمح بالوصول إلى ذاكرة kernel التي يمكن إساءة استخدامها لرفع مستوى الامتيازات وهزيمة الحلول الأمنية. يمكن استغلال اثني عشر من برامج التشغيل لتخريب آليات الأمان مثل التوزيع العشوائي لتخطيط مساحة عنوان kernel ( KASLR ).

يمكن استخدام سبعة من برامج التشغيل، بما في ذلك stdcdrv64.sys من Intel، لمسح البرامج الثابتة في ذاكرة فلاش SPI، مما يجعل النظام غير قابل للتمهيد. وقد أصدرت Intel منذ ذلك الحين إصلاحًا للمشكلة.

قالت VMware إنها حددت أيضًا برامج تشغيل WDF مثل WDTKernel.sys وH2OFFT64.sys التي ليست عرضة للخطر من حيث التحكم في الوصول، ولكن يمكن تسليحها من قبل جهات التهديد المميزة لتنفيذ ما يسمى بهجوم (إحضار برنامج التشغيل الضعيف الخاص بك)Bring Your Own Vulnerable Driver (BYOVD) .

تم استخدام هذه التقنية من قبل العديد من الخصوم، بما في ذلك مجموعة لازاروس المرتبطة بكوريا الشمالية ، كوسيلة للحصول على امتيازات مرتفعة وتعطيل برامج الأمان التي تعمل على نقاط النهاية المخترقة لتجنب الكشف.

وقال هاروياما: النطاق الحالي لواجهات برمجة التطبيقات/التعليمات التي يستهدفها [ البرنامج النصي IDAPython لأتمتة تحليل التعليمات البرمجية الثابتة لبرامج التشغيل الضعيفة x64] ضيق ويقتصر فقط على الوصول إلى البرامج الثابتة. ومع ذلك، فمن السهل توسيع التعليمات البرمجية لتغطية ناقلات الهجوم الأخرى (مثل إنهاء العمليات التعسفية).

المصدر: هاكر نيوز