英特尔:无需对Windows驱动缺陷恐慌
2018-06-11 来源:
驱动程序软件中的缺陷令人讨厌,可能是严重的威胁,但英特尔的安全专家认为无需为此感到恐慌,至少目前是这样。
在最近的试验中,英特尔的研究人员研究了Windows 操作系统驱动程序中已知的缺陷,他们还搜集了利用这些安全漏洞的恶意代码。他们希望找到能够使黑客完全控制用户系统的内核级驱动程序中的问题和缺陷利用代码。
他们的研究几乎是一无所获。本周一在计算机安全协会的NetSec会议上发言时,英特尔的高级信息安全专家大卫说,要发现一些对我们有用的东西非常困难,Windows 内核模式驱动程序中并没有多少缺陷。
由于从理论上说能够被黑客用来完全控制用户的系统,设备驱动程序中的缺陷会成为对计算机安全的严重威胁。但英特尔的研究表明,目前这一风险比较低,因为目前公开的缺陷数量比较少,黑客更喜欢利用比较容易利用的缺陷。
其他安全专家同意英特尔的看法。McAfee全球威胁集团的高级经理蒙蒂说,设备驱动程序缺陷确实相当少见。与应用软件中的缺陷相比,要利用设备驱动程序中的缺陷更为困难,利用这样的缺陷通常会得到拒绝服务的结果。
但是,最近驱动程序缺陷受到了越来越多的关注。例如,微软正在开发工具,供驱动程序开发人员扫描代码中的常见缺陷。微软担心,不安全的驱动程序会对运行Windows 的系统造成损害。
要控制系统内置或外接的硬件设备,操作系统就需要驱动程序的帮助。有缺陷的驱动程序能够带来许多麻烦,特别是网卡和硬盘需要的内核模式驱动程序中的错误能够造成系统崩溃。由于内核模式驱动程序在Windows 系统上以最高权限运行,其中的安全漏洞也会被黑客所利用。
大卫表示,英特尔的专家确实发现了许多与内核有关的缺陷,但最终没有真正在Windows PC上获得最高级别的访问权限。另一个问题是,许多发现的问题都是第三方软件中早已存在的缺陷。
英特尔发现的许多缺陷都属于本地缺陷,这意味着黑客必须能够接触到PC,也只能使他们提高自己的访问权限。尽管这些问题也不容忽视,但它们的严重程度不足以与能够让黑客控制用户系统的缺陷相提并论。
由于编写内核代码的困难性,编写利用内核模式驱动程序中缺陷的代码决非易事。大卫说,缺陷利用代码不能偏离“正常轨道”太远,否则就会造成系统崩溃,而无法获得系统的控制权限了。趋势的高级威胁分析师伊凡说,由于驱动程序的编程非常复杂,因此针对它的攻击不多。
除了内核模式驱动程序外,Windows 还需要用户模式的驱动程序,例如打印机、显卡、USB 等硬件。这类驱动程序的权限通常较低,这意味着利用它们发动的攻击危险性较低。
英特尔的研究人员在一个由微软开发的名为TCPIP.sys 的驱动程序中发现了一个缺陷。微软在去年4 月份修正了这一危急缺陷,利用该缺陷的恶意代码已经公开在互联网上传播。但是,从理论上应当能够让黑客控制用户PC的这一恶意代码却仅仅对系统发动了拒绝服务攻击。
大卫表示,尽管英特尔的研究人员没有能够利用内核级恶意代码控制计算机,但这并不意味着人们无需警惕这样的问题。大卫在其计算机的Windows System文件夹中发现了336 个。sys 文件,其中218 个是微软开发的,24个是由他信任的其它公司开发的,另外的94个则是可疑的。
大卫说,这是令人担忧的。谁在我们的系统上安装了这些代码?它们的代码是安全的吗?他说,开发人员编写不访问硬件,而在计算机完成其它任务的驱动程序的情况并不少见,这就意味着驱动程序代码更不安全了。
英特尔的研究人员发现,他们触发的拒绝服务攻击能够被常见的主机防入侵产品所拦截。英特尔的高级信息安全专家丹尼斯说,内核级设备驱动程序恶意代码是我们需要考虑的一个问题,我把它与其它缺陷一视同仁。
英特尔的专家指出,威胁等级可能会发生变化。英特尔的一名知名安全设计师罗斯说,但是,这需要时间,因为黑客会首先利用比较容易被用来发动攻击的缺陷。当设备驱动程序恶意代码逞威的时候,我们可能已经有了对付它的方法。
标签: 安全 代码 互联网 漏洞 权限 问题 信息安全 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:利用UTL_MAIL发送电子邮件