サイバーセキュリティ調査会社Eclypsiumは、「Screwed Drivers」というタイトルのレポートを公開しました。40を超えるハードウェアメーカーの最新のデバイスドライバーソフトウェアの設計における重大な欠陥を記録しています。
WHQLプログラムの下でMicrosoftによって完全に署名および承認されたドライバーを公開しているメーカーの長いリストには、Intel、AMD、NVIDIA、AMI、Phoenix、ASUS、Toshiba、SuperMicro、GIGABYTE、MSI、EVGAなどの有名企業が含まれています。
後者の少数の名前の多くは、Ring-0ハードウェアアクセスのためにカーネルモードドライバーをWindowsにインストールするハードウェア監視およびオーバークロックアプリケーションを設計するマザーボードメーカーです。
調査の一環として、Eclypsiumは、デバイスドライバー、RWEverything、LoJax(最初のUEFIマルウェア)、SlingShotを悪用する特権エスカレーション攻撃の3つのクラスを記録しています。
これらの中心にあるのは、署名証明書に欠陥のある、廃止された、または期限が切れたドライバーでWindowsが動作し続ける方法の活用です。
Eclypsiumは、各号の要点には触れていませんが、DEF CONプレゼンテーションで3つを簡潔に定義しています。
同社は、緩和策とパッチについて上場メーカーの数社と協力しており、ホワイトペーパーの発行を禁じています。
RWEverythingは、ソフトウェアを介してすべてのハードウェアインターフェイスにアクセスするためのユーティリティとして、Eclypsiumによって導入されました。
ユーザー空間で動作しますが、1回だけインストールされた署名付きRWDrv.sysカーネルモードドライバーを使用すると、マルウェアへのコンジットとして機能し、マシンにRing-0でアクセスできます。
解説:
40社以上の主要メーカーのドライバに脆弱性が発見されたということです。
内容は公開されていませんが、署名切れのドライバを使う方法を応用するというもののようです。
ちょっとびっくりすべきニュースですが、早期の改善が期待されます。
現時点で日本のメディアは報じていませんが、かなり大ごとっぽいので、取り急ぎ翻訳だけしました。
改善済みのドライバがこれから出ると思いますが、即アップデートしましょう。
※ コメントでご指摘をいただきましたので、記事のタイトルを修正いたしました。