美国网络安全暨基础架构安全管理局(CISA)本周警告,技嘉的Windows驱动程序多项旧漏洞发生滥用情形。安全厂商则发现,是被用以感染勒索软件。
根据CISA周二公告的已知遭滥用漏洞清单,遭到滥用的技嘉产品漏洞包括CVE-2018-19320、CVE-2018-19321、CVE-2018-19322及CVE-2018-19323。
这项公告之前,一名安全研究人员本月稍早披露一项攻击,攻击者发送包含有漏洞技嘉驱动程序GDrv的EXE档。一旦用户下载,就会将漏洞驱动程序安装到Windows System文件夹,再以其加载恶意驱动程序于Windows核心中。之后会寻找赛门铁克杀毒行程,再将之关闭,最后感染不知名的勒索软件。
GDrv是技嘉2020年5月修补的漏洞驱动程序之一。当时技嘉修补的4项漏洞中,GDrv低端驱动程序全部都有。其中CVE-2018-19320出在原因是暴露ring0 memcpy函数,可让本地攻击者得以取得设备控制权。
CVE-2018-19321和CVE-2018-19322则是影响GPCIDrv和GDrv两项驱动程序,前者可让本地攻击者升级其权限,而得以在技嘉产品中读写任意物理内存。后者则允许攻击者从I/O传输端口读写资料,也能用于扩大权限、而利用多种方法执行程序代码。CVE-2018-19320到CVE-2018-19322三漏洞风险值皆为7.8。
GPCIDrv及GDrv驱动程序另一项漏洞CVE-2018-19323,可让本地攻击者扩大其权限以读写物理内存。风险值高达9.8。
技嘉已经在2020年5月公告并加以修补上述漏洞。当时安全厂商Sophos侦测到攻击者利用这批漏洞在受害设备上传播勒索软件Robbinhood。
针对本月的最新攻击,研究人员指出,一般64-bit Windows计算机可以驱动程序签章执行(driver signature enforcement)来确保只有合法驱动程序可以安装到Windows核心中。但这起攻击,则是利用GDRV.sys驱动程序已获得签章,但却有权限扩展漏洞这点攻击Windows用户,而且过程中杀毒软件皆未被触动发出警示。
研究人员说Windows有将GDRV驱动程串行为封锁清单,但是没有提供hash sum。因此用户防范攻击的最好方法是尽快更新驱动程序。