Vulnerabilità del driver di Windows esposte alla conferenza sulla sicurezza di DefCon

Durante la 27a conferenza annuale sulla sicurezza del computer DefCon, i ricercatori che lavorano con Eclypsium hanno esposto serie vulnerabilità che hanno scoperto in una varietà di driver Windows. Il principale difetto delineato nel rapporto era che i driver consentivano alle applicazioni in esecuzione con privilegi bassi nella porzione di spazio utente del sistema di ottenere un accesso ingiustificato al kernel di sistema. I driver funzionano a un livello diverso rispetto al normale software come, ad esempio, Microsoft Office, quindi il difetto di progettazione nelle poche dozzine di driver menzionati nel rapporto ha permesso agli attori cattivi di scivolare, sfruttando il difetto nel design del conducente e ottenere pieno accesso al sistema compromesso. Tutti i driver problematici erano driver firmati digitalmente da Microsoft.

Mickey Shkatov, uno dei ricercatori di Eclypsium nel pannello DefCon, ha attribuito i difetti risultanti del driver a cattive pratiche di codifica da parte dei produttori di hardware e insufficiente attenzione data ai potenziali problemi di sicurezza. Shkatov ha spiegato che i driver sono sempre più spesso codificati in un modo che consente loro di "eseguire azioni arbitrarie per conto dello spazio utente", invece di essere strettamente limitati allo scopo molto specifico che servono.

I ricercatori hanno anche indicato questo come un problema molto serio perché, da un lato, i produttori di hardware presumono che Microsoft stia cercando questo tipo di problema prima di firmare digitalmente i driver, mentre dall'altro lato, Microsoft si aspetta che i fornitori utilizzino il codice sicuro nei loro stampa.

I produttori di hardware che sono arrivati nell'elenco dei driver interessati includono nomi importanti come NVidia, AsusTek, AMD, EVGA, Gigabyte, Intel e Toshiba. Da allora, tutti quei venditori sono stati informati dal team di ricerca e hanno inviato aggiornamenti dei driver. Per ridurre ulteriormente qualsiasi potenziale danno ai sistemi che eseguono driver vulnerabili, Microsoft sfrutterà le funzionalità HVCI (Hypervisor Code Integrity) di Windows 10 per mettere i driver problematici segnalati in una lista nera.

Non è garantito un eccessivo panico per il problema del conducente. Come hanno sottolineato i ricercatori, per ottenere l'accesso al kernel del sistema, un cattivo attore dovrà aver preventivamente compromesso il sistema di destinazione: il driver stesso non può essere utilizzato come punto di ingresso, ma piuttosto come una trincea più profonda che un cattivo l'attore che si è già infiltrato nel sistema può scavare.