团队高级威胁研究员 Takahiro Haruyama 指出，“没有权限的攻击者可利用这些驱动，擦除/修改固件以及/或提升操作系统权限。”

该研究是对之前研究工作的扩展延伸，如 CrewdDrivers 和 POPKORN 利用符号执行方式来自动化发现易受攻击的驱动。这项研究主要专注于通过端口 I/O 和内存映射 I/O 来限制固件访问权限。

这些易受攻击的驱动的名称包括 AODDriver.sys、ComputerZ.sys、dellbios.sys、GEDevDrv.sys、GtcKmdfBs.sys、IoAccess.sys、kernel.amd64、ngiodriver.sys、novclock.sys、PDFWKRNL.sys (CVE-2023-20598)、RadHwMgr.sys、rtif.sys、rtport.sys、stdcdrv64.sys 和 TdkLib64.sys (CVE-2023-35841)。

在这34个驱动中，6个可允许内核内存访问权限被滥用于提权并破坏安全解决方案，12个驱动可被用于绕开安全机制如内核地址空间布局随机化，7个驱动（包括英特尔的 stdcdrv64.sys）可被用于擦除 SPI 闪存中的固件，导致系统不可遭启动。英特尔之后发布修复方案。

VMware 公司表示，还发现了一些 WDF 驱动如 WDTKernel.sys和 H2OFFT64.sys 不受访问控制漏洞影响，但可被权限攻击者触发 BYOVD 攻击。这一攻击技术遭多个威胁组织利用，包括与朝鲜关联的 Lazarus 组织等，目的是提升权限并禁用受陷端点上运行的安全软件以躲避检测。

Haruyama 表示，“对64位易受攻击驱动的自动化静态代码分析的 IDAPython 脚本所针对的当前的 APIs/指令范围较窄，仅影响固件访问权限。然而，代码非常容易被扩展为涵盖其它攻击向量。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~