На конференции DEF CON в Лас-Вегасе специалисты компании Eclypsium рассказали о том, что сумели обнаружить уязвимости более чем в 40 драйверах от 20 производителей устройств. Ошибки в коде можно использовать для атак с повышением привилегий в системе. Все эти драйверы сумели ранее получить сертификаты Microsoft.

В число компаний входят крупные производители BIOS и производители аппаратных компонентов вроде Asus, Huawei, Intel, Nvidia и Toshiba. Уязвимые драйверы предназначаются для всех версий Windows и у них могут быть миллионы пользователей.

Через такие уязвимости вредоносные приложения с правами пользователя могут получить доступ к ядру системы, а вместе с тем и к аппаратным компонентам. Вредоносный код может быть установлен прямо в прошивку устройства, после чего переустановка операционной системы не позволит избавиться от опасности.

Если уязвимый драйвер уже есть в системе, вредоносной программе требуется только найти его для получения повышенных прав. Если драйвера нет, вредоносная программа может принести его с собой. Правда, тогда для установки потребуется разрешение администратора.

Microsoft задействует HVCI (Hypervisor-enforced Code Integrity), чтобы поместить указанные исследователями драйверы в чёрный список. Однако, данная функциональность доступна только на процессорах Intel 7-го поколения и новее. В остальных случаях эти драйверы потребуется удалять вручную, как и на современных процессорах Intel с отключенным HCVI.

Сама Microsoft говорит, что для использования уязвимых драйверов хакеры уже должны получить доступ к компьютеру. Однако, при этом у них уже и без того может быть доступ к ядру системы.

Для защиты от плохих драйверов Microsoft рекомендует использовать Windows Defender Application Control. Также компания говорит о необходимости включать защиту целостности памяти в Windows Security.

Список уже обновивших свои драйверы производителей указан в блоге Eclypsium.