Pc-Boost.com : le site de l'actualité informatique, de l'overclocking et de l'optimisation hardware !
Pseudo : Mot de passe :
S'enregistrer

Pilotes de plus de 40 fabricants, y compris Intel, NVIDIA et AMD vulnérables aux attaques de logiciels malveillants avec escalade de privilèges !


dfhgsdxhnj3_mini.png

Pilotes de plus de 40 fabricants, y compris Intel, NVIDIA et AMD vulnérables aux attaques de logiciels malveillants avec escalade de privilèges !

2zgg0tgg9vg6os3s_mini.JPG

La société de recherche en cybersécurité Eclypsium a publié un rapport intitulé "Pilotes vissés", qui décrit une faille critique dans la conception des logiciels de pilotes de périphériques modernes de plus de 40 fabricants de matériel, qui permet aux logiciels malveillants d'obtenir le privilège de Ring 3 à Ring 0 (accès matériel illimité).

La longue liste de fabricants publiant des pilotes entièrement signés et approuvés par Microsoft dans le cadre de son programme WHQL inclut de grands noms tels que Intel, AMD, NVIDIA, AMI, Phoenix, ASUS, Toshiba, SuperMicro, GIGABYTE, MSI et EVGA. Un grand nombre de ces derniers noms sont des fabricants de cartes mères qui conçoivent des applications de surveillance et d'overclocking de matériel, installant des pilotes en mode noyau dans Windows pour un accès matériel à Ring-0.

9ogm1dn2fhigrzu7_mini.JPG

rkvnui77htimqp2r_mini.JPG

fagzwp0blji8wrqu_mini.JPG

Dans le cadre de son étude, Eclypsium décrit trois types d’attaques d’escalade de privilèges exploitant des pilotes de périphérique, RWEverything, LoJax (le premier logiciel malveillant UEFI), SlingShot. Au cœur de celles-ci, on trouve l’exploitation de la façon dont Windows continue à travailler avec des pilotes avec des certificats de signature défectueux, obsolètes ou expirés. Eclypsium n’a pas étudié en détail chaque problème, mais en a brièvement défini les trois dans une présentation de DEF CON.

La société travaille avec plusieurs des fabricants énumérés sur les mesures d'atténuation et les correctifs et est sous embargo pour publier un livre blanc. Eclypsium a introduit RWEverything en tant qu'utilitaire permettant d'accéder à toutes les interfaces matérielles via un logiciel. Il fonctionne dans l'espace utilisateur, mais avec un pilote en mode noyau signé RWDrv.sys, installé une seule fois, agit comme un conduit par les logiciels malveillants pour obtenir un accès Ring-0 à votre ordinateur.

LoJax est un outil d'implantation qui utilise RWDrv.sys pour accéder au contrôleur de flash SPI du chipset de votre carte mère, afin de modifier votre flash UEFI BIOS. Slingshot est un APT avec son propre pilote malveillant qui exploite d'autres pilotes avec MSR en lecture/écriture pour contourner l'application de la signature du pilote afin d'installer un rootkit.

Pour plus d'information (En Anglais), Cliquez ICI.



News


News postée par : Conrad56
Date : 12/08/19 à 07h54
Catégorie : Drivers & Logiciel
Nombre d'affichages : 554
Source de la news : TECHPOWERUP
Nombre de commentaires : 0 > Poster un commentaire

News Suivantes

icone
25/08
2019
Le site VON GURU propose le test du : NZXT H710i. 96 vues
icone
25/08
2019
Captain Marvel. 106 vues
icone
25/08
2019
Escape Game. 109 vues

Poster votre commentaire

Vous devez être enregistré et connecté sur Pc-Boost pour poster un commentaire.

Vous pouvez tout de même poster via Facebook.

Les commentaires postés sur cette news