Ovviamente gli effetti di un driver in modalità kernel compromesso sono più disastrosi, ma sono più difficili da compromettere in primo luogo?
Ovviamente gli effetti di un driver in modalità kernel compromesso sono più disastrosi, ma sono più difficili da compromettere in primo luogo?
Due termini per familiarizzare con la sicurezza in modalità kernel di Windows sono la sicurezza basata sulla virtualizzazione e l'integrità del codice forzata da HyperVisor.
Virtualization Based Security (VBS) - VBS utilizza le funzionalità di virtualizzazione dell'hardware per creare e isolare una regione di memoria sicura dal normale sistema operativo.
Integrità del codice forzata da HyperVisor (HVIC) - utilizza VBS per rafforzare l'applicazione dei criteri di integrità del codice. L'integrità del codice in modalità kernel controlla tutti i driver in modalità kernel e la pre-esecuzione dei file binari e blocca il caricamento dei driver non firmati o dei file di sistema nella memoria di sistema. < - Nota che questo non protegge l'integrità dei dati in modalità kernel. La modifica delle strutture di dati chiave può ancora compromettere l'integrità del sistema. Un esempio di questo è intercettare e rilasciare messaggi da sysmon (modalità kernel) alla registrazione (modalità utente)
Sebbene questo HVIC sia ottimo per mantenere semplici attacchi di driver maligni non firmati dalla modalità kernel, gli attacchi Return Oriented Programming sono ancora abbastanza possibili nella modalità kernel di Windows. Questo, se fatto correttamente e combinato con un driver firmato ma vulnerabile (ce ne sono molti in giro) può portare all'esecuzione di codice arbitrario.
Il controllo compensativo che tutti dovrebbero utilizzare è il monitoraggio di tutti i carichi del driver. Come passo successivo, inserisci nella blacklist tutti i driver vulnerabili conosciuti che non sono richiesti nel tuo ambiente (e monitora pesantemente tutti i driver vulnerabili conosciuti che sono richiesti). Infine, se si dispone di un ambiente maturo, white-list solo i driver necessari e dormire un po 'più facilmente.
Leggi altre domande sui tag driver system-compromise