با شات ایکس همیشه در فناوری بروز باشید
گزارش محققان امنیتی در مورد آسیب‌پذیری در درایورهای ویندوز
عکس : انواع آسیب‌پذیری‌های درایورهای ویندوز
.

طبق گزارش‌های محققان امنیتی ، حدود 34 درایور ویندوز آسیب‌پذیر یافت شده که می‌توانند توسط مهاجمین برای به دست آوردن کنترل کامل دستگاه‌ها و اجرای کد بر روی سیستم‌ها مورد سوءاستفاده قرار گیرند.

تاکاهیرو هارویاما، محقق ارشد تهدیدات سایبری در Vmware در این باره توضیح داد:« یک مهاجم با استفاده از این درایورها، بدون داشتن هیچ گونه دسترسی می‌تواند سیستم عامل را پاک کند یا تغییر دهد و یا حتی سطح دسترسی خود را افزایش دهد.»

محققان در این تحقیقات از اجرای آزمایشی بدافزار برای خودکارسازی کشف درایورهای آسیب‌پذیر استفاده کرده‌اند. این تحقیقات به طور خاص بر روی درایورهایی تمرکز می‌کند که شامل دسترسی میان‌افزار از طریق پورت I/O هستند.



نام برخی از مهم‌ترین درایورهای آسیب پذیر عبارتند از:

AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, TdkLib64.sys (CVE-2023-35841).

انواع آسیب‌پذیری‌های درایورهای ویندوز

دسترسی مهاجم به حافظه کرنل

از بین 34 درایور آسیب‌پذیر، شش درایور اجازه دسترسی به حافظه کرنل را می‌دهند که می‌تواند برای افزایش دسترسی و شکستن راهکارهای امنیتی مورد سوء استفاده قرار گیرد. دوازده مورد از این درایورها می‌توانند برای برهم زدن مکانیسم‌‌های امنیتی مانند KASLR مورد سوء استفاده قرار گیرند.

پاک کردن حافظه SPI و غیرقابل بوت‌شدن سیستم

هفت درایور از جمله stdcdrv64.sys اینتل، می‌تواند برای پاک کردن سیستم عامل در حافظه فلش SPI مورد استفاده قرار گیرد که سیستم را غیرقابل بوت می‌کند. البته اینتل در به‌روزرسانی جدید این درایور، یک راه حل برای این مشکل صادر کرده است.

اجرای حملات BYOVD به سبک گروه لازاروس

VMware نیز اعلام کرده که درایورهای WDF مانند WDTKernel.sys و H2OFFT64.sys را شناسایی کرده است که از نظر کنترل دسترسی آسیب‌پذیر نیستند، اما می‌توانند برای انجام آنچه حمله BYOVD مورد استفاده قرار گیرند.

این تکنیک توسط مهاجمان مختلف، از جمله گروه هکری لازاروس تحت حمایت کره شمالی، به عنوان راهی برای به دست آوردن سطح دسترسی بالا و غیرفعال کردن راهکارهای امنیتی و فرار از شناسایی، استفاده شده است.

ارسال این خبر برای دوستان در شبکه های مجازی :
تلگرامواتساپایتاتوییترفیس بوکلینکدین