Computer Security Vulnérabilités de pilotes Windows exposées à la...

Vulnérabilités de pilotes Windows exposées à la conférence DefCon Security

vulnérabilité de pilote Windows trouvée Lors de la 27e conférence annuelle sur la sécurité informatique DefCon, les chercheurs travaillant avec Eclypsium ont exposé de graves vulnérabilités découvertes dans divers pilotes Windows. La faille principale décrite dans le rapport était que les pilotes permettaient aux applications exécutant avec des privilèges faibles dans la partie espace utilisateur du système obtenir un accès non justifié au noyau du système. Les pilotes fonctionnent à un niveau différent des logiciels classiques, comme Microsoft Office, par exemple, de sorte que la faille de conception des quelques dizaines de pilotes mentionnés dans le rapport a permis aux mauvais acteurs de passer à travers, exploitant la faille dans la conception du pilote et obtenir un accès complet. au système compromis. Tous les pilotes problématiques étaient des pilotes signés numériquement par Microsoft.

Mickey Shkatov, un des chercheurs Eclypsium au sein du panel DefCon, a attribué les défauts de conduite qui en résultent à de mauvaises pratiques de codage de la part des fabricants de matériel et à une attention insuffisante accordée aux problèmes de sécurité potentiels. Shkatov a expliqué que les pilotes sont de plus en plus souvent codés de manière à leur permettre "effectuer des actions arbitraires pour le compte de utilisateur", au lieu être strictement limités à objectif spécifique q ils servent.

Les chercheurs ont également souligné q il agissait un problème très grave car, une part, les fabricants de matériel supposaient que Microsoft recherchait ce type de problème avant de signer numériquement les pilotes, tandis que, autre part, Microsoft attend à ce que les fournisseurs utilisent du code sécurisé dans leur code. communiqués.

Les fournisseurs de matériel figurant sur la liste des pilotes impactés incluent de grands noms tels que NVidia, AsusTek, AMD, EVGA, Gigabyte, Intel et Toshiba. Tous ces fournisseurs ont depuis été avertis par l’équipe de recherche et ont envoyé des mises à jour de pilotes. Pour réduire davantage les dommages éventuels sur les systèmes exécutant des pilotes vulnérables, Microsoft utilisera les fonctionnalités HVCI (Hypervisor Code Integrity) de Windows 10 pour placer les pilotes problématiques signalés dans une liste noire.

Une panique excessive sur le problème du conducteur est pas justifiée. Comme ont souligné les chercheurs, pour accéder au noyau du système, un mauvais acteur doit au préalable compromettre le système cible: le pilote lui-même ne peut pas être utilisé comme point entrée, mais plutôt comme une tranchée plus profonde q un mauvais acteur qui a déjà infiltré le système peut creuser.

Chargement...