Modern Windows sürümleri, Windows Sürücü Modeli (WDM) ve Windows Sürücü Çerçeveleri (WDF) aracılığıyla yazılan aygıt sürücülerini destekler. Her iki model de tamamen güncellenmiş bir Windows kurulumunun tehlikeye atılması ve esas olarak savunmasız bir sistem üzerinde sınırsız kontrol elde edilmesi amacıyla kullanılabilir.
VMware Tehdit Analiz Birimi'ndeki (TAU) hata avcıları, eski cihazlara ait 237 farklı dosya karması içeren 34 benzersiz, savunmasız Windows sürücüsü keşfetti. Bu sürücülerin birçoğunun güvenlik sertifikaları iptal edilmiş veya süresi dolmuş olsa da, şirketler ve diğer kuruluşlar bunları çeşitli sektörlerdeki eski donanımları desteklemek için hâlâ kullanıyor.
VMware'in TAU'su, bu "benzersiz" saldırı vektörünü bir statik analiz otomasyon komut dosyası uygulayarak keşfetti ve ürün yazılımı erişimine sahip 30 WDM ve 4 WDF sürücüsünün, yönetici olmayan kullanıcılara cihazların tam kontrolünü sağlayabileceğini buldu . Windows 11 artık Hypervisor Korumalı Kod Bütünlüğü (HVCI) özelliği aracılığıyla güvenlik açığı bulunan sürücüleri varsayılan olarak engelliyor; ancak TAU analistleri, beşi hariç olmak üzere yeni keşfedilen sürücüleri HVCI özellikli Windows 11 sistemlerine yüklemeyi başardılar.
TAU, sistem ayrıcalıkları olmayan kötü niyetli kişilerin, savunmasız sürücülerden yararlanarak bir makinenin donanım yazılımını silebilecek veya değiştirebileceğini, erişim ayrıcalıklarını yükseltebileceğini, güvenlik özelliklerini devre dışı bırakabileceğini, antivirüse dayanıklı önyükleme kitleri yükleyebileceğini ve daha fazlasını gerçekleştirebileceğini söyledi. Savunmasız sürücülerle ilgili önceki araştırmalar yalnızca eski WDM modeline odaklanmıştı ancak VMware analistleri yeni WDF sürücülerindeki sorunları da tespit edebildi.
Kusurlu sürücüleri keşfettikten sonra araştırmacılar, bulgularını pratik olarak göstermek için güçlü kavram kanıtı (PoC) istismarları geliştirdiler. AMD sürücüsüne yönelik bir PoC (pdfwkrnl.sys), HVCI etkin Windows 11 işletim sistemi üzerinde komut istemini (cmd.exe) "sistem bütünlük düzeyi" ile çalıştırabilirken, başka bir PoC ürün yazılımı silme yetenekleri sağlayabilir (ilk 4KB) En azından ürün yazılımının kendi SPI flash belleğindeki veriler) Intel Apollo SoC platformlarında.
Araştırmacılar tarafından çok sayıda savunmasız sürücü zaten rapor edilmiş olsa da TAU, yeni analiz metodolojilerinin hala geçerli imzalara sahip yenilerini bulmaya yetecek kadar iyi olduğunu söyledi. Microsoft, güvenlik açığı bulunan sürücü sorunuyla "yasaklı liste" yöntemiyle mücadele etmeye çalışıyor ancak TAU gelecek için daha kapsamlı bir yaklaşım öneriyor.
VMware analistleri betiklerini ve PoC'lerini GitHub'da açık kaynak kod olarak yayınlıyor. Ayrıca ürün yazılımı erişimiyle "sınırlı" talimatlar sağlarlar, ancak kod diğer saldırı vektörlerini kapsayacak şekilde kolayca genişletilebilir. Savunmasız sürücülerin IoC (Uzlaşma Göstergeleri) listesi kamuya açıklandı ve Arazide Yaşayan Sürücüler izleme listesi aracılığıyla erişilebilir.
