Jika Anda memiliki perangkat, atau komponen perangkat keras, yang diproduksi oleh ASUS, Toshiba, Intel, NVIDIA, Huawei, atau 15 vendor lainnya yang tercantum di bawah ini, Anda mungkin kacau.
Sebuah tim peneliti keamanan telah menemukan kerentanan keamanan berisiko tinggi di lebih dari 40 driver dari setidaknya 20 vendor berbeda yang dapat memungkinkan penyerang mendapatkan izin paling istimewa pada sistem dan menyembunyikan malware dengan cara yang tetap tidak terdeteksi dari waktu ke waktu, kadang-kadang selama bertahun-tahun. .
Untuk penyerang yang canggih, mempertahankan kegigihan setelah mengkompromikan suatu sistem adalah salah satu tugas yang paling penting, dan untuk mencapai ini, kerentanan perangkat keras yang ada terkadang memainkan peran penting.
Salah satu komponen tersebut adalah driver perangkat, yang umumnya dikenal sebagai driver atau driver perangkat keras, program perangkat lunak yang mengontrol jenis perangkat perangkat keras tertentu, membantu untuk berkomunikasi dengan sistem operasi komputer dengan benar.
Karena driver perangkat berada di antara perangkat keras dan sistem operasi itu sendiri dan dalam kebanyakan kasus memiliki akses istimewa ke kernel OS, kelemahan keamanan dalam komponen ini dapat menyebabkan eksekusi kode pada lapisan kernel.
Eskalasi serangan privilege ini dapat memindahkan penyerang dari mode pengguna (Ring 3) ke mode kernel OS (Ring 0), seperti yang ditunjukkan pada gambar, memungkinkan mereka untuk menginstal backdoor persisten dalam sistem yang mungkin tidak akan pernah disadari oleh pengguna.
Ditemukan oleh para peneliti di firma keamanan firmware dan perangkat keras Eclypsium, beberapa kerentanan baru dapat memungkinkan baca / tulis memori kernel, register model-spesifik (MSRs), registrasi khusus model (CR), Register Kontrol (CR), Register Debug (DR), dan memori fisik .
"Semua kerentanan ini memungkinkan pengemudi untuk bertindak sebagai proxy untuk melakukan akses yang sangat istimewa ke sumber daya perangkat keras, yang dapat memungkinkan penyerang mengubah alat yang digunakan untuk mengelola sistem menjadi ancaman yang kuat yang dapat meningkatkan hak istimewa dan bertahan tanpa terlihat di host," "Para peneliti menjelaskan dalam laporan mereka berjudul 'Screwed Drivers.'
"Akses ke kernel tidak hanya dapat memberikan penyerang akses paling istimewa yang tersedia untuk sistem operasi, tetapi juga dapat memberikan akses ke antarmuka perangkat keras dan firmware dengan hak istimewa yang lebih tinggi seperti firmware sistem BIOS."
Karena malware yang berjalan di ruang pengguna hanya dapat memindai driver yang rentan pada mesin korban untuk mengkompromikannya, penyerang tidak harus menginstal driver rentan mereka sendiri, menginstal yang jika tidak memerlukan hak administrator sistem.
Semua driver rentan, seperti yang tercantum di bawah ini, ditemukan oleh para peneliti, telah disertifikasi oleh Microsoft.
American Megatrends International (AMI), ASRock, Komputer ASUSTeK, ATI Technologies (AMD), Biostar, EVGA, Getac, GIGABYTE, Huawei, Insyde, Intel, Micro-Star International (MSI), NVIDIA, Teknologi Phoenix, Semikonduktor Realtek, SuperMicro, Toshiba
Daftar ini juga mencakup tiga vendor perangkat keras yang belum disebutkan oleh para peneliti, karena mereka "masih berada di bawah embargo karena pekerjaan mereka di lingkungan yang sangat teregulasi dan akan membutuhkan waktu lebih lama untuk mendapatkan sertifikasi tersertifikasi dan siap untuk digunakan kepada pelanggan."
"Beberapa driver rentan berinteraksi dengan kartu grafis, adapter jaringan, hard drive, dan perangkat lain," jelas para peneliti. "Malware persisten di dalam perangkat ini dapat membaca, menulis, atau mengarahkan ulang data yang disimpan, ditampilkan, atau dikirim melalui jaringan. Demikian juga, komponen mana pun dapat dinonaktifkan sebagai bagian dari serangan DoS atau ransomware."
Kelemahan driver perangkat bisa lebih berbahaya daripada kerentanan aplikasi lain karena memungkinkan akses penyerang ke cincin firmware "negatif" yang terletak di bawah sistem operasi dan mempertahankan kegigihan pada perangkat, bahkan jika sistem operasi sepenuhnya diinstal ulang, sama seperti dalam kasus dari LoJax malware .
Para peneliti telah melaporkan kerentanan ini kepada vendor yang terkena dampak, yang beberapa di antaranya, termasuk Intel dan Huawei , telah merilis pembaruan tambalan dan mengeluarkan penasihat keamanan.
Selain itu, para peneliti juga berjanji untuk segera merilis skrip di GitHub yang akan membantu pengguna menemukan driver wormhole terinstal di sistem mereka, bersama dengan kode bukti konsep, demonstrasi video, dan tautan ke driver dan alat yang rentan.
Sumber : TheHackerNews
