逾40款硬體驅動程式漏洞可讓駭客在Windows核心執行惡意程式，Intel、Nvidia及多家臺灣廠商上榜

安全廠商Eclypsium上周在駭客技術年會Black Hat USA上公布研究，20多家硬體廠商的40多款驅動程式有權限升級漏洞，可能導致攻擊者在Windows核心執行惡意程式。英特爾、Nvidia和多家臺灣硬體廠商上榜，不過他們也都完成並釋出修補程式。

作業系統核心為和硬體通訊，需要以核心模式的驅動程式作為中介，在Windows環境下，是使用核心模式驅動程式框架（Kernel Mode Driver Framework，KMDF）。這些驅動程式可以控制Windows電腦大大小小的動作，小至CPU風扇轉速、主機板LED燈的顏色、大至BIOS更新、刷機等。驅動程式也擁有較一般使用者更高權限，也能在更底層作業而不受作業系統管轄。

為了防止攻擊者濫用此類權限，微軟也設計了多種機制，像是WHQL（Windows Hardware Quality Lab）認證、程式簽章、延伸驗證（extended validation，EV）程式碼簽章等，來防止非法、惡意驅動程式載入Windows核心。

但研究人員發現，多款經簽章的驅動程式存在安全漏洞，可被當作代理伺服器以便讀寫重要的硬體資源，像是核心記憶體、內部CPU組態暫存器（registers）、PCI介面裝置等等，使這些合法驅動程式反而被攻擊者用來繞過甚至關閉Windows安全機制，進而執行任意程式碼。

Eclypsium 首席研究分析師Mickey Shkatov指出，這些漏洞其實是出在驅動程式編寫實務上未考量安全性所致。程式人員並未限制驅動程式可執行的任務類別，而是為了應用開發的方便而設計得很彈性，讓使用者空間（userspace）中的低權限app，得以在Windows 核心執行程式碼。所有近代的Windows作業系統都受到此漏洞影響。

研究人員發現，有20多家硬體廠商、超過40款驅動程式存在上述漏洞，經過安全廠商通報已完成修補者包括，華碩（ASUSTEK）、ATI、技嘉（Gigabyte）、華為、英特爾、微星（MSI）、nVidia、Phoenix、瑞昱（Realtek）、超微（SuperMicro）、東芝、AMI、華擎（ASRock）、映泰（Biostar）、艾微克（EVGA）、神基（Getac）、系微（Insyde）等，他們有的是直接發布給終端用戶，有的則是發佈給OEM客戶。但仍然有部份廠商需要更多時間才能完成修補。

研究人員計畫之後要把受影響的驅動程式完整名單，公布在GitHub上。