11 月 7 日消息，VMware 旗下威脅分析部門（TAU）近日發現了 34 個存在安全隱患的 Windows 驅動程序，其中涉及 237 個文件，其哈希值部分屬于舊設備。

其中很多驅動程序的安全證書處于“已吊銷”或者“已過期”狀態，但是各行各業依然有不少企業使用包含這些驅動的舊設備。

TAU 通過靜態分析自動化腳本發現了這些問題驅動，其中 30 個為具有固件訪問權限的 WDM，此外還有 4 個 WDF 驅動，可以讓非管理員用戶完全控制設備。

目前 Windows 11 系統默認通過 Hypervisor-Protected Code Integrity（HVCI）來阻止加載問題驅動程序，但 TAU 團隊發現除了 5 個之外，其它問題驅動都可以正常加載。

TAU 團隊表示，攻擊者可以利用這些問題驅動程序，即便沒有系統權限也可以擦除或更改機器的固件，提升訪問權限，禁用安全功能，安裝防病毒的 bootkit 等。

安全機構目前對問題驅動程序的研究主要集中在較舊的 WDM 模型上，不過 VMware 分析師目前檢測到較新的 WDF 驅動程序同樣也存在問題。

研究人員隨后成功利用該漏洞技進行驗證，團隊在支持 HVCI 的 Win11 操作系統上，制作了 AMD 驅動程序的概念驗證（PoC）驅動，可以運行具有“系統完整性級別”的命令提示符（cmd.exe）。

團隊開發的另一個 PoC 驅動，成功在英特爾 Apollo SoC 平臺上，實現擦除固件功能。

雖然研究人員已經報告了很多易受攻擊的驅動，但 TAU 表示，他們的新分析方法足以找到仍然具有有效簽名的新問題驅動。

微軟目前嘗試通過“禁止列表”方式解決問題驅動，而且 TAU 也嘗試提出更全面、更妥善的保護方案。

IT之家在此附上報告原文鏈接，感興趣的用戶可以深入閱讀。