Les pilotes qui ne sont plus pris en charge constituent toujours une menace grave pour la sécurité de Windows
Dans le contexte: Les versions modernes de Windows prennent en charge les pilotes de périphérique écrits via le modèle de pilote Windows (WDM) et Windows Driver Frameworks (WDF). Les deux modèles peuvent être exploités pour compromettre une installation Windows entièrement mise à jour, obtenant essentiellement un contrôle illimité sur un système vulnérable.
Les chasseurs de bugs de VMware Threat Analysis Unit (TAU) ont découvert 34 pilotes Windows vulnérables uniques, avec 237 hachages de fichiers différents appartenant à des appareils existants. Même si bon nombre de ces pilotes ont des certificats de sécurité révoqués ou expirés, les entreprises et autres organisations les utilisent toujours pour prendre en charge du matériel ancien dans divers secteurs.
Le TAU de VMware a découvert ce vecteur d’attaque « unique » en implémentant un script d’automatisation d’analyse statique, constatant que 30 pilotes WDM et 4 WDF avec accès au micrologiciel pouvaient fournir un contrôle total des appareils aux utilisateurs non administrateurs. Windows 11 bloque désormais par défaut les pilotes vulnérables via la fonctionnalité Hypervisor-Protected Code Integrity (HVCI) ; cependant, les analystes de TAU ont pu charger les pilotes nouvellement découverts sur les systèmes Windows 11 compatibles HVCI, à l’exception de cinq.
En exploitant les pilotes vulnérables, a déclaré TAU, des acteurs malveillants sans privilèges système pourraient effacer ou modifier le micrologiciel d’une machine, élever les privilèges d’accès, désactiver les fonctionnalités de sécurité, installer des kits de démarrage résistants aux antivirus, etc. Les recherches précédentes sur les pilotes vulnérables se concentraient exclusivement sur l’ancien modèle WDM, mais les analystes de VMware ont également pu détecter des problèmes dans les pilotes WDF les plus récents.
Après avoir découvert les pilotes défectueux, les chercheurs ont développé de puissants exploits de preuve de concept (PoC) pour démontrer concrètement leurs découvertes. Un PoC pour un pilote AMD (pdfwkrnl.sys) pourrait exécuter l’invite de commande (cmd.exe) avec un « niveau d’intégrité du système » sur un système d’exploitation Windows 11 compatible HVCI, tandis qu’un autre PoC pourrait fournir des capacités d’effacement du micrologiciel (les premiers 4 Ko données dans la mémoire flash SPI du micrologiciel, au moins) sur les plates-formes Intel Apollo SoC.
Alors que de nombreux conducteurs vulnérables ont déjà été signalés par les chercheurs, TAU a déclaré que sa nouvelle méthodologie d’analyse était suffisamment performante pour en trouver de nouveaux ayant encore des signatures valides. Microsoft tente de lutter contre le problème des pilotes vulnérables avec une méthode de « liste interdite », mais TAU propose une approche plus globale pour l’avenir.
Les analystes VMware publient leurs scripts et PoC sous forme de code open source sur GitHub. Ils fournissent également des instructions « limitées » à l’accès au firmware, mais le code peut facilement être étendu pour couvrir d’autres vecteurs d’attaque. La liste IoC (Indicators of Compromise) des conducteurs vulnérables a été rendue publique et est accessible via la liste de surveillance Living Off The Land Drivers.
