Des chercheurs découvrent des failles dans 40 pilotes de noyau de 20 fournisseurs

Sécurité : Les fournisseurs concernés incluent notamment Intel, AMD, NVIDIA, ASRock, AMI, Gigabyte, Realtek, Huawei, etc.

Par Catalin Cimpanu | Lundi 12 Août 2019

Suivre @zdnetfr

 

 

Libellés

failles, Hackers, pilotes,

 

Lors de la DEF CON 27, conférence sur la sécurité qui avait lieu ce week-end à Las Vegas, des chercheurs de la société Eclypsium ont présenté un exposé sur les défauts de conception courants détectés dans plus de 40 pilotes de noyau de 20 fournisseurs de matériel différents.
Le défaut le plus courant permet aux applications à faible privilège d’ utiliser des fonctions de pilote légitimes pour exécuter des actions malveillantes dans les zones les plus sensibles du système d'exploitation Windows, telles que le noyau Windows.
"Il existe un certain nombre de ressources matérielles qui ne sont normalement accessibles que par des logiciels privilégiés tels que le noyau Windows et qui doivent être protégées contre les attaques en lecture / écriture malveillantes depuis les applications de l'espace utilisateur", a déclaré Mickey Shkatov, chercheur principal chez Eclypsium.
"Ce défaut de conception fait surface lorsque les pilotes signés fournissent des fonctionnalités qui peuvent être utilisées à mauvais escient par des applications en espace utilisateur pour effectuer des lectures / écritures arbitraires sur ces ressources sensibles sans aucune restriction ni vérification de la part de Microsoft", a-t-il ajouté.
Shkatov attribue les problèmes qu'il a découverts à de mauvaises pratiques de codage, qui ne tiennent pas compte de la sécurité. "C’est un modèle courant de la conception logicielle dans lequel, plutôt que de faire en sorte que le pilote n’exécute que des tâches spécifiques, il est écrit de manière flexible pour effectuer uniquement des actions arbitraires pour le compte de l’espace utilisateur", a-t-il déclaré à ZDNet.
"Il est plus facile de développer des logiciels en structurant les pilotes et les applications de cette façon, mais cela ouvre la possibilité de l’exploitation des vulnérabilités."

Fournisseurs affectés

Shkatov a déclaré que sa société avait informé chacun des fournisseurs de matériel concernés. Les fournisseurs qui ont publié des mises à jour sont répertoriés ci-dessous.

• American Megatrends International (AMI)
• ASRock
• ASUSTeK Computer
• ATI Technologies (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Phoenix Technologies
• Realtek Semiconductor
• SuperMicro
• Toshiba

"Certains fournisseurs, tels qu'Intel et Huawei, ont déjà publié des mises à jour. Certains, qui sont des fournisseurs de BIOS indépendants, tels que Phoenix et Insyde, publient leurs mises à jour pour les fabricants OEM de leurs clients", a déclaré Shkatov à ZDNet.
Le chercheur d’Eclypsium a déclaré qu’il n’avait pas nommé tous les fournisseurs concernés, car certains "avaient besoin de temps supplémentaire en raison de circonstances spéciales" et que d’autres correctifs et des avis seraient publiés à l’avenir. Le chercheur d’Eclypsium a déclaré qu’il envisageait de publier la liste des pilotes concernés et leur hashs sur GitHub, après la discussion, afin que les utilisateurs et les administrateurs puissent bloquer les pilotes concernés.
En outre, Shaktov a déclaré que Microsoft utilisera sa capacité HVCI (intégrité de code imposée par l'hyperviseur) pour mettre en liste noire les pilotes signalés.
Cependant, Shaktov a expliqué que la fonctionnalité HVCI n'est prise en charge que sur les processeurs Intel de 7e génération et plus. Une intervention manuelle sera nécessaire sur les systèmes plus anciens, et même sur les nouveaux processeurs Intel sur lesquels HVCI ne peut pas être activé.
"Pour exploiter des pilotes vulnérables, un attaquant doit déjà avoir compromis l'ordinateur", a déclaré Microsoft dans un communiqué. "Pour aider à atténuer cette catégorie de problèmes, Microsoft recommande aux clients d’utiliser Windows Defender Application Control pour bloquer les logiciels et les pilotes vulnérables connus. Les clients peuvent se protéger davantage en activant l’intégrité de la mémoire des périphériques compatibles dans Windows Security. Microsoft collabore avec les partenaires afin de répondre à ces vulnérabilités et travailler ensemble pour aider à protéger les clients. "
Plus de détails seront disponibles sur le blog Eclypsium plus tard aujourd'hui.
Source :  Researchers find security flaws in 40 kernel drivers from 20 vendors