Successivo
Screwed Drivers - Driver di periferica vulnerabili

Security

Windows, driver di periferica vulnerabili. Un rischio per kernel e firmware UEFI

Alfonso Maruccia | 13 Agosto 2019

Sicurezza Windows

I ricercatori di sicurezza hanno identificato decine di driver di periferica vulnerabili, una minaccia che mette a rischio la sicurezza […]

I ricercatori di sicurezza hanno identificato decine di driver di periferica vulnerabili, una minaccia che mette a rischio la sicurezza del cuore “hardware” di un moderno PC basato su Windows.

Decine di driver di periferica per Windows sono affetti da gravi vulnerabilità nel codice, bachi che cyber-criminali e agenzie di intelligence potrebbero sfruttare per violare la sicurezza del sistema fino a raggiungere l’hardware di base dei PC. Una minaccia niente affatto ipotetica e che coinvolge un gran numero di produttori.

A identificare la nuova, pericolosa minaccia “sistemica” alla sicurezza informatica della piattaforma x86 sono stati i ricercatori di Eclypsium, che col loro lavoro di analisi hanno evidenziato l’esistenza di più di 40 vulnerabilità di sicurezza in altrettanti driver per l’hardware commercializzato da almeno 20 produttori differenti. I driver fallati risultavano perfettamente “validati” e firmati digitalmente da Microsoft.

I bug possono essere sfruttati per abusare dei privilegi di accesso dei driver di sistema, componenti indispensabili a cui è deputato il compito di far comunicare l’hardware “fisico” con il sistema operativo, le applicazioni e gli altri elementi software di Windows. Sfruttando le falle scoperte da Eclypsium, un malintenzionato può guadagnare privilegi di accesso di livello kernel – e andare persino più “giù”, nella scala degli anelli di protezione, fino a raggiungere il firmware UEFI.

Driver vulnerabili, Ring di protezione

I bug scoperti nei driver di periferica scaturiscono soprattutto da errori di programmazione piuttosto comuni, sostengono i ricercatori, una pratica di scarsa sicurezza che evidentemente non viene considerata con la dovuta serietà nemmeno da chi ha il compito di sviluppare un componente software così delicato come un driver per Windows.

La minaccia delle falle nei driver di periferica è tutt’altro che ipotetica, visto che in passato i gruppi di cyber-criminali e spioni più agguerriti hanno già sfruttato questo metodo per compromettere i PC di soggetti particolarmente sensibili. Il rootkit Lojax, poi, è notoriamente considerato come uno dei primi malware capaci di compromettere il firmware UEFI con tanto di firma digitale valida.

Eclypsium ha pubblicato una lista parziale dei produttori coinvolti nella minaccia informatica dei driver fallati, un elenco che al momento esclude aziende attive in settori particolarmente “sensibili” e che include i seguenti nomi molto noti nel business dell’hardware, le motherboard e i firmware UEFI: American Megatrends International (AMI), ASRock, ASUSTeK Computer, ATI Technologies (AMD), Biostar, EVGA, Getac, GIGABYTE, Huawei, Insyde, Intel, Micro-Star International (MSI), NVIDIA, Phoenix Technologies, Realtek, SuperMicro, Toshiba.