Windows Driver Vulnerabilities Exposed at DefCon Security Conference

在第27屆年度DefCon計算機安全會議期間，與Eclypsium合作的研究人員暴露了他們在各種Windows驅動程序中發現的嚴重漏洞 。報告中概述的主要缺陷是驅動程序允許在系統的用戶空間部分以低權限運行的應用程序獲得對系統內核的無理訪問。驅動程序的運行級別與常規軟件不同，例如Microsoft Office，因此報告中提到的幾十個驅動程序中的設計缺陷允許不良參與者漏掉，利用驅動程序設計中的缺陷並獲得完全訪問權限到受損系統。所有有問題的驅動程序都是由Microsoft進行數字簽名的驅動程序。

DefCon面板上的Eclypsium研究人員之一Mickey Shkatov將導致的驅動程序缺陷歸咎於部分硬件製造商的編碼實踐不佳以及對潛在安全問題的關注不足。 Shkatov解釋說，驅動程序越來越多地以允許它們"代表用戶空間執行任意操作"的方式進行編碼，而不是嚴格限制於它們所服務的特定目的。

研究人員還將此概述為一個非常嚴重的問題，因為一方面，硬件製造商認為微軟在對驅動程序進行數字簽名之前正在尋找此類問題，而另一方面，微軟希望供應商在其中使用安全代碼。版本。

在受影響的驅動程序列表上製作它的硬件供應商包括NVidia，AsusTek，AMD，EVGA，Gigabyte，Intel和Toshiba等知名品牌。此後，所有這些供應商都被研究團隊通知並推動了驅動程序更新。為了進一步減少對運行易受攻擊驅動程序的系統造成的任何潛在損害，Microsoft將利用Windows 10 Hypervisor代碼完整性（HVCI）功能將報告的有問題的驅動程序置於黑名單中。

對驅動程序問題的過度恐慌是不合理的。正如研究人員指出的那樣，為了獲得對系統內核的訪問權限，一個不好的角色需要事先妥協目標系統 - 驅動程序本身不能用作入口點，而是作為一個更深的溝槽而不是已滲入系統的演員可以挖掘。