Eclypsium: useiden laitevalmistajien ajurit uhkaavat koko järjestelmien turvallisuutta

Viestiketju alueella 'io-tech.fi uutiset' , aloittaja Kaotik, 13.08.2019.

  1. Kaotik

    Kaotik Banhammer Ylläpidon jäsen

    Viestejä:
    10 312
    Rekisteröitynyt:
    14.10.2016
    [​IMG]


    Tietoturvayritys Eclypsium on julkaissut artikkelin, jonka mukaan useiden laitevalmistajien ajurit ovat haavoittuvia hyökkäyksille. Yrityksen mukaan haavoittuvuuksia on löytynyt ainakin 20 eri valmistajan ajureista.

    Eclypsiumin mukaan useiden suurten laitevalmistajien ajurit voiva haavoittuvuuksillaan uhata koko järjestelmän turvallisuutta. Haavoittuvat ajurit ovat yrityksen mukaan täysin normaalisti allekirjoitettuja ja ne ovat läpäisseet Microsoftin ajuriseulan. Sen mukaan haavoittuvuuksia hyödyntävät hyökkäykset voidaan jakaa kolmeen luokkaan: Read & Write Everything, LoJax ja Slingshot.

    RWEverything ja LoJax hyödyntävät allekirjoitettua RwDrv.sys-ajuria saadakseen pääsyn Ring 0 -tasolle ja siten käytännössä koko tietokoneeseen. RWEverythingin kerrotaan mahdollistavan pääsyn tietoihin, joihin käyttäjillä ei pitäisi olla pääsyä (Ring 3) ja LoJax puolestaan käyttää RwDrv.sys-ajuria saadakseen piirisarjan SPI-ohjaimen haltuunsa ja sen jälkeen hyödyntää sitä asentaakseen järjestelmään UEFI-tason haittaohjelman. Slingshot hyödynsi muiden ajureiden mahdollisuutta kirjoittaa MSR-rekistereihin (Model Specific Registers) ohittaakseen ajureiden allekirjoituksen tarkastuksen ja sen jälkeen asentaakseen käyttöjärjestelmän ytimeen rootkitin. Slingshotin tiedetään olleen aktiivinen ainakin vuodesta 2012 vuoteen 2018.

    Eclypsiumin mukaan haavoittuvia ajureita on ainakin 20 eri valmistajalla, joista se nimeää ASRockin, Asuksen, ATi / AMD:n, Biostarin, EVGA:n, Getac:n, Gigabyten, Huawein, Insyden, Intelin, MSI:n, NVIDIAn, Phoenix Technologiesin, Realtekin, SuperMicron ja Toshiban. Loppujen valmistajien nimet on jätetty julkaisematta ainakin toistaiseksi johtuen yhtiöiden toiminnasta arkaluontoisten järjestelmien parissa.

    Lähde: Eclypsium

    Huom! Foorumiviestistä saattaa puuttua kuvagalleria tai upotettu video.

    Linkki alkuperäiseen uutiseen (io-tech.fi)

    Palautelomake: Raportoi kirjoitusvirheestä
     
  2. svk

    svk Apua, avatarini on sormi! Premium-jäsen

    Viestejä:
    2 520
    Rekisteröitynyt:
    14.12.2016
    Pitäneen ottaa speksit pois näkyvistä, ettei kukaan tekistä koita hyökätä kotikoneeseen.
     
  3. KoneenKokoaja

    KoneenKokoaja

    Viestejä:
    364
    Rekisteröitynyt:
    05.12.2018
    Näiden haavoittuvuuksien hyväksikäyttö tosin edellyttää sitä, että koneeseen on saatu ujutettua saastunut softa joko käyttäjän itsensä asentamana, muulla tietoturva aukolla, mutta sen jälkeen tälläinen softa pystyy ajamaan koneessa koodia admin oikeuksilla ilman, että käyttöjärjestelmä ilmoittelee asiasta mitään.
     
  4. Aatumies

    Aatumies

    Viestejä:
    47
    Rekisteröitynyt:
    28.12.2016
    Taitaa tarvita fyysisen pääsyn koneelle ennen kuin pystyy hyödyntämään. Tai haittaohjelman niin kuin @KoneenKokoaja totesi.
     
  5. Kaotik

    Kaotik Banhammer Ylläpidon jäsen

    Viestejä:
    10 312
    Rekisteröitynyt:
    14.10.2016
    Pahempaakin, adminoikeudetkin päästävät vain Ring 3 tasolle
     
  6. Josennes

    Josennes

    Viestejä:
    4
    Rekisteröitynyt:
    06.10.2018
    Ja sitten kun tämmöinenkin on mahdollista
    https://www.io-tech.fi/uutinen/hakkerit-iskivat-asus-live-update-palveluun-ja-jakoivat-haittaohjelmalla-saastutettua-versiota-ohjelmasta/
    Niin alkaa olla tarvittavat palikat kasassa rootkitin asennukseen.
     
  7. Foxy

    Foxy <3 Nörtti <3 Tukijäsen

    Viestejä:
    76
    Rekisteröitynyt:
    11.01.2019
    Mitäpä noille voi käyttäjä tehdä, eipä oikein mitään &gt;_&lt;