Des pilotes de noyau potentiellement exploitables émergent

Les acteurs malveillants pourraient exploiter 34 pilotes Windows Driver Model et Windows Driver Framework vulnérables nouvellement identifiés pour faciliter la manipulation des processus système, la persistance et la prise de contrôle totale des appareils sans être détectés par un logiciel de sécurité, selon Semaine de la sécurité. L’exploitation des pilotes vulnérables, dont certains proviennent des principaux fabricants de puces, de PC et de BIOS, est possible sans privilèges système, a révélé un rapport de l’unité d’analyse des menaces de VMware Carbon Black. “En exploitant les pilotes vulnérables, un attaquant ne disposant pas des privilèges système peut effacer/modifier le micrologiciel et/ou élever ses privilèges”, ont déclaré les chercheurs. Bien que tous les développeurs des pilotes WDM et WDF défectueux aient été informés du problème de sécurité, seuls Advanced Micro Devices et Phoenix Technologies ont résolu la vulnérabilité. En plus de publier des exploits de validation de principe pour de nombreux pilotes identifiés, VMware a également dévoilé un script IDAPython, qui a permis la découverte automatisée des pilotes problématiques.