“自带易受攻击的驱动程序”攻击正在破坏 Windows

数字安全是一场持续不断的猫捉老鼠游戏，发现新漏洞的速度与解决旧问题的速度一样快（如果不是更快的话）。最近，“自带易受攻击的驱动程序”攻击正成为 Windows PC 的一个复杂问题。

大多数 Windows 驱动程序都是为与特定硬件交互而设计的——例如，如果您从 Logitech 购买耳机并将其插入，Windows 可能会自动安装由 Logitech 制造的驱动程序。但是，Windows 内核级别的许多驱动程序并非旨在与外部设备通信。有些用于调试低级系统调用，近年来，许多PC游戏开始安装它们作为反作弊软件。

默认情况下，Windows 不允许运行未签名的内核模式驱动程序，从 64 位 Windows Vista 开始，它显着减少了可以访问整个 PC 的恶意软件数量。这导致“自带易受攻击的驱动程序”漏洞（简称 BYOVD）越来越流行，它利用现有的已签名驱动程序，而不是加载新的未签名驱动程序。

那么，这是如何工作的呢？好吧，它涉及恶意软件程序寻找 Windows PC 上已经存在的易受攻击的驱动程序。该漏洞会寻找未验证对模型特定寄存器 (MSR) 调用的签名驱动程序，然后利用该漏洞通过受损驱动程序与 Windows 内核交互（或使用它加载未签名的驱动程序）。用现实生活中的类比来说，这就像病毒或寄生虫如何利用宿主生物体来传播自身，但在这种情况下，宿主是另一个驱动因素。

此漏洞已被恶意软件在野外利用。 ESET 研究人员发现，一个绰号为“InvisiMole”的恶意程序利用 Almico 的“SpeedFan”实用程序驱动程序中的 BYOVD 漏洞来加载恶意的未签名驱动程序。视频游戏发行商 Capcom 也发布了一些带有反作弊驱动程序的游戏，这些驱动程序很容易被劫持。

微软针对 2018 年臭名昭著的 Meltdown 和 Spectre 安全漏洞的软件缓解措施也阻止了一些 BYOVD 攻击，而英特尔和 AMD 最近对 x86 处理器的其他改进弥补了一些差距。然而，并不是每个人都拥有最新的计算机或最新的完整补丁版本的 Windows，因此使用 BYOVD 的恶意软件仍然是一个持续存在的问题。这些攻击也非常复杂，因此很难用 Windows 中当前的驱动程序模型完全缓解它们。

保护自己免受任何恶意软件（包括将来发现的 BYOVD 漏洞）侵害的最佳方法是在您的 PC 上启用 Windows Defender 并允许 Windows 在安全更新发布时安装它们。第三方防病毒软件也可能提供额外的保护，但内置的 Defender 通常就足够了。

来源：ESET