Intel patcht driverlek met achterpoort naar Windows Kernel

Eén van de meest gebruikte Inteldrivers bevat kwetsbaarheden waarmee criminelen zich toegang kunnen verschaffen tot Windows op Kernel-niveau. Intel lanceerde intussen een patch.

Midden augustus ontdekte beveiligingsbedrijf Eclypsium een verzameling kwetsbaarheden aanwezig in tal van populaire drivers. De kwetsbaarheden konden misbruikt worden door aanvallers voor low level-toegang tot Windows-systemen. In essentie kon een aanvaller ze misbruiken voor vrijwel ongelimiteerde mogelijkheden. Eclypsium gaf een lijst van getroffen drivers vrij, maar enkele bleven onder embargo.

Moeilijke patch

Onder de niet vernoemde drivers zat Intels PMx-driver. Die is een onderdeel van systeemdetectie en de Intel Management Engine. PMxDrv is met andere woorden een wijdverspreid stuk software. Het bevat zowat alle kwetsbaarheden die Eclypsium drie maanden geleden ontdekte. Intel ging meteen aan de slag met de ontwikkeling van een patch, maar dat bleek een moeilijke taak.

Intel rolde pas deze week een update uit die het lek dicht. Nu de patch beschikbaar is, kan Eclypsium eindelijk bekend maken dat de driver kwetsbaar was. Het bedrijf geeft een lijst van aanwezige kwetsbaarheden mee in een blogpost op de eigen website. Zo is het onder andere mogelijk om PMxDrv te misbruiken om code in het geheugen te injecteren.

Eigen aan de kwetsbaarheid is wel dat een hacker ze pas kan misbruiken nadat hij of zij toegang heeft verworven tot het toestel van een slachtoffer via een ander lek. Het is desalniettemin essentieel om updates zo snel mogelijk te installeren.

Nog kwetsbare drivers

Helaas zijn er nog een heleboel kwetsbare drivers in circulatie. Eén van de grote problemen van het ontdekte lek is dat het moeilijk op te lossen valt met een enkele patch. Windows kan getroffen drivers niet zomaar blokkeren, aangezien ze allemaal getekend zijn door Microsoft en als vertrouwde software worden behandeld.

Microsoft werkt wel aan een oplossing onder de noemer HVCI. Die moet driver-code beter isoleren van de kernel, maar vereist relatief moderne hardware zoals een processor van de zevende generatie of jonger. De oplossing is bovendien nog in de maak.