The Hacker Newsは11月2日(現地時間)、「Researchers Find 34 Windows Drivers Vulnerable to Full Device Takeover」において、Microsoft Windowsのドライバに脆弱性が存在し、特権のないユーザーがシステム上で任意のコードを実行できる可能性があると伝えた。
The Hacker Newsによると、Windows Driver Model(WDM)およびWindows Driver Frameworks(WDF)を使用した34個のドライバに脆弱性が存在し、特権のないユーザーの悪用によりデバイスが完全に制御され、任意のコードを実行できる可能性があるという。このことは、VMware Carbon Black上級脅威研究者の春山敬宏氏が10月31日にブログに投稿した研究報告「Hunting Vulnerable Kernel Drivers – VMware Security Blog」において明らかになった。
春山氏の研究報告では、未知の脆弱なドライバを特定するための手法について詳しく解説している。VMware Carbon Blackの脅威分析ユニットは、脆弱なドライバの検出に自動化された手法を用いており、ポートI/OおよびメモリマップドI/Oを介したファームウェアアクセスを含むドライバに焦点を当てている。また、自動化された手法で見つかったドライバについて、本当に悪用可能であるかを手動で確認したとしている。その結果、主要なチップ、BIOS、PCメーカ製の脆弱なドライバを34個(WDMは30個、WDFは4個)発見したという。
これら脆弱なドライバのうち6つはカーネルメモリアクセスが可能で、任意の仮想メモリへの読み書きが可能とされる。これは特権の昇格、セキュリティソフトウェアの無効化などに悪用できるという。発見された脆弱なドライバについて、脅威分析ユニットは有効な署名のあったベンダーに脆弱性を報告をしている。その結果、2社(Phoenix TechnologiesおよびAdvanced Micro Devices)が脆弱性を修正したという。
VMware Carbon Blackの脅威分析ユニットはこの脅威からユーザーを保護するために、これらドライバの情報を「LOLDrivers」(脅威アクタが攻撃に使用する可能性のあるドライバの一覧を管理するプロジェクト)に報告したとしている。また、この研究で使用されたスクリプトと概念実証(PoC: Proof of Concept)コードを「GitHub - TakahiroHaruyama/VDR: Vulnerable driver research tool, result and exploit PoCs」にて公開しており、このツールが活用されることでゼロデイの脆弱性が発見され、セキュリティ業界の多くの関係者が脆弱なドライバの問題を認識することに期待すると説明している。