اگر یک دستگاه یا یک جزء سخت افزاری دارید که توسط ASUS ، Toshiba ، Intel ، NVIDIA ، Huawei یا ۱۵ فروشنده دیگر ذکر شده در زیرساخته شده است، احتمالاً شما نیز فریب خورده‌اید.

تیمی از محققان امنیتی، آسیب پذیری های امنیتی بحرانی را در بیش از ۴۰ درایور در حداقل ۲۰ سازنده مختلف کشف کرده‌اند که به مهاجمان اجازه می‌دهد دسترسی زیادی به سیستم داشته باشند و بدافزارها را به روشی مخفی نگه دارند که با گذشت زمان، و حتی برای سالها، کشف نشده باقی بمانند.

برای مهاجمین سطح بالا، پایداری پس از دسترسی به سیستم یکی از مهمترین وظایف است و برای رسیدن به این هدف، آسیب پذیری‌های سخت افزاری موجود، نقش مهمی را ایفا می‌کنند.

یکی از این اجزا، درایور دستگاه است که معمولاً به عنوان درایور یا درایور سخت افزاری شناخته می‌شود، و یک برنامه نرم افزاری است که نوع خاصی از تجهیزات سخت افزاری را کنترل می‌کند و به آن در ارتباط صحیح با سیستم عامل رایانه کمک می‌کند.

از آنجا که درایور دستگاه بین سخت افزار و سیستم عامل رایانه قرار دارد و دسترسی زیادی به هسته سیستم عامل دارد، ضعف امنیتی در این قسمت می‌تواند منجر به نفوذ و اجرای یک کد در لایه هسته شود.

این حمله تشدید امتیاز می‌تواند مهاجمی را از حالت کاربر (۳ Ring) به حالت هسته سیستم عامل (Ring 0) همانطور که در تصویر نشان داده شده است منتقل کند، و به آنها امکان می دهد یک Backdoor را در سیستم نصب کنند که احتمالاً کاربر هرگز متوجه آن نمی‌شود.

محققان شرکت سخت افزاری ومیان افزاری Eclypsium کشف کردند که برخی از این آسیب پذیری‌های جدید می‌توانند اجازه خواندن و نوشتن دلخواه از حافظه هسته، مدل‌های خاصی از رجیسترها(MSR)، رجیسترهای کنترلی (CR)، رجیسترهای دیباگ(DR) و حافظه‌های فیزیکی را بدهند.

محققان در گزارش خود با عنوان “درایورهای آسیب دیده”(Screwed Drivers) توضیح می دهند: “همه این آسیب پذیری ها به درایور اجازه می‌دهد تا به عنوان یک پروکسی عمل کند، و  به منابع سخت افزاری دسترسی ایجاد کند، و به مهاجمان امکان می‌دهد ابزارهای مورد استفاده برای مدیریت سیستم را به تهدیدهای قدرتمند تبدیل کنند و حق دسترسی ویژه برای خود را افزایش دهند و به صورت نامرئی روی رایانه میزبان باقی بمانند.

“دسترسی به هسته علاوه بر اینکه به مهاجمان امتیاز ویژه دسترسی به سیستم عامل را می‌دهد، همچنین به رابط های سخت افزاری و نرم افزاری سیستم، امتیازات دسترسی بالاتری مانند دسترسی به BIOS سیستم را نیز می‌دهد.”

از آنجا که بدافزارهای موجود در فضای کاربر می توانند به راحتی درایور آسیب پذیر را در دستگاه قربانی اسکن کنند تا آن را به خطر بیاندازد، مهاجمان مجبور نیستند که درایور آسیب پذیر را خودشان نصب کنند، چون نصب کردن یک درایور در هر صورت به اجازه مدیر سیستم نیاز دارد.

همه درایورهای آسیب پذیر که در زیر لیست شده‌اند، توسط مایکروسافت تأیید شده‌اند.

• American Megatrends International (AMI)
• ASRock
• ASUSTeK Computer
• ATI Technologies (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Phoenix Technologies
• Realtek Semiconductor
• SuperMicro
• Toshiba

این لیست همچنین شامل سه فروشنده سخت افزاری دیگر است که محققان هنوز نامی از آن‌ها نبرده‌اند، زیرا آن‌ها “هنوز به خاطر کار در محیط تنظیم شده تحت تحریم هستند و مدت زمان بیشتری طول می‌کشد تا دارای یک گواهی ثابت و آماده ارائه به مشتریان بشوند.”

محققان توضیح می دهند: “برخی از درایورهای آسیب پذیر با کارت‌های گرافیکی، آداپتورهای شبکه، دیسک سخت و سایر دستگاه‌ها در تعامل هستند.”

”بدافزارهای دائمی در داخل این دستگاه ها داده های ذخیره شده، نمایش داده شده یا ارسال شده از طریق شبکه را می‌خوانند ، می‌نویسند و یا تغییر مسیر می‌دهند. به همین ترتیب، هر یک از آن‌ها می‌توانند طی یک حمله DoS یا باج افزار غیرفعال شوند.”

نقص در درایور دستگاه می‌تواند خطرناک تر از سایر آسیب پذیری ها در برنامه‌ها باشد، زیرا به مهاجم امکان دسترسی به میان افزارهای سطح منفی یک را می‌دهد که در زیر سیستم عامل قرار دارد و مقاومت دستگاه را حفظ می کند، حتی اگر سیستم عامل دوباره نصب شده باشد، این دسترسی همچنان باقی می‌ماند، دقیقاً مانند بدافزار LoJax.

محققان این آسیب پذیری‌ها را به سازندگان مربوطه گزارش کرده‌اند که برخی از آن‌ها از جمله Intel و Huawei نسخه‌هایی را برای  رفع این آسیب‌ پذیری ارائه کرده‌اند و یک مشاوره امنیتی نیز انتشار داده‌اند.

علاوه بر این، محققان همچنین قول داده‌اند به زودی اسکریپتی را در GitHub منتشر کنند که به کاربران کمک می‌کند درایورهای کرم چاله نصب شده بر روی سیستم های خود را پیدا کنند. همچنین تصمیم دارند  همراه با اسکریپت، کدی به عنوان مدرک برای این آسیب پذیری، ویدئو، و لینک متصل به درایورها و ابزارهای آسیب پذیر منتشر کنند.