- 我的订阅
- 科技
我们正处于一个信息大暴发的时代,每天都能产生数以百万计的新闻资讯!
虽然有大数据推荐,但面对海量数据,通过我们的调研发现,在一个小时的时间里,您通常无法真正有效地获取您感兴趣的资讯!
头条新闻资讯订阅,旨在帮助您收集感兴趣的资讯内容,并且在第一时间通知到您。可以有效节约您获取资讯的时间,避免错过一些关键信息。
vmware分析部门发现34个windows驱动程序
11月7日消息,VMware旗下威胁分析部门(TAU)近日发现了34个存在安全隐患的Windows驱动程序,其中涉及237个文件,其哈希值部分属于旧设备。
其中很多驱动程序的安全证书处于“已吊销”或者“已过期”状态,但是各行各业依然有不少企业使用包含这些驱动的旧设备。
TAU通过静态分析自动化脚本发现了这些问题驱动,其中30个为具有固件访问权限的WDM,此外还有4个WDF驱动,可以让非管理员用户完全控制设备。
目前Win11系统默认通过Hypervisor-ProtectedCodeIntegrity(HVCI)来阻止加载问题驱动程序,但TAU团队发现除了5个之外,其它问题驱动都可以正常加载。
TAU团队表示,攻击者可以利用这些问题驱动程序,即便没有系统权限也可以擦除或更改机器的固件,提升访问权限,禁用安全功能,安装防病毒的bootkit等。
安全机构目前对问题驱动程序的研究主要集中在较旧的WDM模型上,不过VMware分析师目前检测到较新的WDF驱动程序同样也存在问题。
研究人员随后成功利用该漏洞技进行验证,团队在支持HVCI的Win11操作系统上,制作了AMD驱动程序的概念验证(PoC)驱动,可以运行具有“系统完整性级别”的命令提示符(cmd.exe)。
团队开发的另一个PoC驱动,成功在英特尔ApolloSoC平台上,实现擦除固件功能。
虽然研究人员已经报告了很多易受攻击的驱动,但TAU表示,他们的新分析方法足以找到仍然具有有效签名的新问题驱动。
微软目前尝试通过“禁止列表”方式解决问题驱动,而且TAU也尝试提出更全面、更妥善的保护方案。
以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。
快照生成时间:2023-11-09 09:45:09
本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。
信息原文地址:
