Redazione RHC : 2 Novembre 2023 18:05
34 driver vulnerabili di Windows Driver Model (WDM) e Windows Driver Frameworks (WDF) potrebbero essere stati sfruttati da autori di minacce. Tali driver permettono di ottenere il pieno controllo dei dispositivi ed eseguire codice arbitrario sui sistemi sottostanti.
“Sfruttando i driver, un utente malintenzionato senza privilegi può cancellare/alterare il firmware e/o elevare i privilegi del sistema operativo”, ha affermato Takahiro Haruyama, ricercatore senior sulle minacce presso VMware Carbon Black.
VMW Carbon Black TAU discovered 34 unique vulnerable WDF/WDM drivers (237 file hashes), including ones made by major chip/BIOS/PC makers. By exploiting the drivers, an attacker without privilege may erase/alter firmware, and/or elevate OS privileges. https://t.co/lfVpj4Lt3T
— Takahiro Haruyama (@cci_forensics) November 1, 2023
![]() Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La ricerca si espande su studi precedenti, come ScrewedDrivers e POPKORN che utilizzavano l’esecuzione simbolica per automatizzare la scoperta di driver vulnerabili.
Inoltre si concentra in particolare sui driver che contengono l’accesso al firmware tramite porta I/O e I/O mappato in memoria. I driver rilevati vulnerabili sono:
Driver Name | Number of Hashes | Type | Signature Status (when discovered) | Other R/W Vulnerabilities | PoC | Note |
stdcdrv64.sys | 1 | WDF | Valid | MSR/CR | Firmware erase | – |
IoAccess.sys | 2 | WDF | Expired | – | Firmware erase | – |
GEDevDrv.SYS | 4 | WDF | Expired | – | – | – |
GtcKmdfBs.sys | 5 | WDF | Expired | MSR | – | – |
PDFWKRNL.sys | 3 | WDM | Valid | Virtual memory | Firmware erase, EoP | CVE-2023-20598 |
TdkLib64.sys | 18 | WDM | Valid | MSR | Firmware erase | CVE-2023-35841,unique buffer encoding |
phymem_ext64.sys | 4 | WDM | Valid | Registry | Firmware erase | Loading failure on HVCI-enabled Win11 |
rtif.sys | 7 | WDM | Expired | – | – | KeBugCheckEx |
cg6kwin2k.sys | 1 | WDM | Valid | – | Firmware erase | – |
RadHwMgr.sys | 6 | WDM | Valid | Virtual memory, registry | – | Error in device creation |
FPCIE2COM.sys | 5 | WDM | Valid | – | – | – |
ecsiodriverx64.sys | 2 | WDM | Expired | MSR | – | – |
sysconp.sys | 2 | WDM | Expired | MSR | – | – |
ngiodriver.sys | 12 | WDM | Expired | MSR (read-only) | – | – |
avalueio.sys | 2 | WDM | Expired | – | – | – |
tdeio64.sys | 2 | WDM | Expired | – | – | – |
WiRwaDrv.sys | 1 | WDM | Expired | – | – | Loading failure on HVCI-enabled Win11 |
CP2X72C.SYS | 5 | WDM | Expired | – | – | Loading failure on HVCI-enabled Win11 |
SMARTEIO64.SYS | 1 | WDM | Expired | – | – | – |
AODDriver.sys | 9 | WDM | Certificate revoked | MSR | – | – |
dellbios.sys | 11 | WDM | Certificate revoked | – | – | – |
stdcdrvws64.sys | 1 | WDM | Certificate revoked | Virtual memory, MSR/CR | EoP | Old WDM version of stdcdrv64.sys |
sepdrv3_1.sys | 1 | WDM | Certificate revoked | – | – | – |
kerneld.amd64 | 36 | WDM | Certificate revoked | – | – | – |
hwdetectng.sys | 3 | WDM | Certificate revoked | MSR | – | – |
VdBSv64.sys | 1 | WDM | Certificate revoked | MSR | – | – |
nvoclock.sys | 25 | WDM | Certificate revoked | Virtual memory | – | – |
rtport.sys | 8 | WDM | Certificate revoked | Virtual memory | EoP | – |
ComputerZ.Sys | 50 | WDM | Certificate revoked | MSR | – | – |
SBIOSIO64.sys | 4 | WDM | Certificate revoked | – | – | – |
SysInfoDetectorX64.sys | 1 | WDM | Expired | MSR (read-only) | – | – |
nvaudio.sys | 1 | WDM | Certificate revoked | Virtual memory, MSR/CR | – | Buffer encryption, 72% code similarity with nvoclock.sys |
FH-EtherCAT_DIO.sys | 2 | WDM | Expired | MSR | – | Loading failure on HVCI-enabled Win11 |
atlAccess.sys | 1 | WDM | Expired | – | – | Loading failure on HVCI-enabled Win11 |
Table 2: Research result
Dei 34 driver, sei consentono l’accesso alla memoria del kernel di cui è possibile effettuare privilege escalation e vanificare le soluzioni di sicurezza. Dodici driver potrebbero essere sfruttati per sovvertire i meccanismi di sicurezza come la randomizzazione del layout dello spazio degli indirizzi del kernel (KASLR).
Sette driver, incluso stdcdrv64.sys di Intel, possono essere utilizzati per cancellare il firmware nella memoria flash SPI, rendendo il sistema non avviabile. Da allora Intel ha rilasciato una soluzione al problema.
VMware ha affermato di aver identificato anche driver WDF come WDTKernel.sys e H2OFFT64.sys che non sono vulnerabili in termini di controllo degli accessi, ma possono essere banalmente utilizzati come armi da autori di minacce privilegiati per portare a termine quello che viene chiamato attacco Bring Your Own Vulnerable Driver (BYOVD).
Nella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o...
Mattinata difficile per i clienti Fastweb: dalle 9:30 circa, il numero di segnalazioni di malfunzionamento è schizzato alle stelle. Secondo i dati di Downdetector, le interruzioni hanno superato le 3...
Dopo il successo dello scorso anno, Scientifica lancia la nuova edizione di GlitchZone, la competition dedicata alle start-up che sviluppano soluzioni innovative per la cybersecurity. L’iniziativa �...
Il ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...