Минувшим летом, на конференции DEF CON 27 в Лас-Вегасе специалисты компании Eclypsium рассказали, что провели глобальную проверку безопасности драйверов ядра Windows. Тогда они сообщили об обнаружении более чем 40 уязвимостей в драйверах ядра от 20 различных производителей. Однако летом была обнародована информация только о 39 драйверах, так как остальные бреши на тот момент еще не были закрыты.
Теперь эксперты Eclypsium сообщил, что минувшим летом Intel устранила не все проблемы. Так, ранее компания уже патчила Intel Processor Identification Utility и Intel Computing Improvement Program, но теперь очередь дошла и до исправления Intel PMx Driver (PMxDrv), ошибки в котором ранее находились под эмбарго.
Исследователи рассказывают, что PMxDrv обладает широкими возможностями, и эти легитимные функции могут использовать и злоумышленники. Так, среди возможностей драйвера:
- чтение/запись в физическую память;
- чтение/запись в Model Specific Registers (MSR);
- чтение/запись в управляющие регистры;
- чтение/запись в таблицу векторов прерываний (Interrupt Descriptor Table, IDT) и глобальную таблица дескрипторов (Global Descriptor Table, GDT);
- чтение/запись в записи регистры отладки;
- произвольное получение доступа I/O;
- произвольное получение доступа PCI.
Хотя обычно злоумышленнику требуются права администратора для доступа к функциям драйвера ядра, аналитики Eclypsium объясняют, что многие производители не защищают свои драйверы должным образом, разрешая приложениям из пользовательского пространства обращаться к функциям драйвера ядра без каких-либо ограничений. Именно так произошло и с Intel PMx Driver.
Проблема заключается в том, что данный драйвер входил в состав многих инструментов, связанных с Intel ME и BIOS, которые Intel выпускала в последние два десятилетия, начиная с 1999 года. К примеру, драйвер можно обнаружить в составе detection tool, выпущенном Intel в 2017 году, чтобы помочь администраторам определить, были ли их системы уязвимы перед серьезной проблемой в Intel Management Engine.
Теперь инженеры Intel выпустили обновленные версии pmxdrvx64.sys и pmxdrv.sys, однако специалисты полагают, что на распространение этих исправлений, к сожалению, могут уйти долгие месяцы или даже годы.