Microsoft рассказала о закрытой уязвимости в драйвере Huawei на ноутбуках MateBook под Windows 10

    Исследователи безопасности Microsoft обнаружили уязвимую утилиту Huawei, которая даёт злоумышленникам простой способ подорвать безопасность ядра Windows. Специалисты сейчас подробно рассказали об этом инциденте с эскалацией привилегий в драйвере Huawei PCManager для линейки ноутбуков MateBook под Windows 10. При помощи Microsoft китайская компания исправила баг в январе 2019 года.

    Как объяснили исследователи Microsoft, сторонние драйверы ядра становятся всё более привлекательными для злоумышленников для атаки на ядро операционной системы. В этом случае хакерам не требуется преодолевать защиту ядра с помощью дорогостоящих эксплойтов и 0day для Windows.

    Ошибку в программном обеспечении Huawei обнаружили новая система безопасности ядра Microsoft Defender ATP, которую внедрили в октябрьском обновлении Windows 10 (версия 1809). Система разработана в качестве меры реагирования на эпидемию зловреда-вымогателя WannaCry в 2017 года, вызвавшей хаос в Национальной службе здравоохранения Великобритании и заразившей около 200 000 компьютеров под Windows по всему миру.

    В частности, система детектирует такие вредоносные программы, как бэкдор-закладка DoublePulsar от АНБ, о котором стало известно после утечки исходников АНБ, организованной хакерами The Shadow Brokers. Бэкдор DoublePulsar работает в режиме ядра и он использовался для доставки WannaCry в пользовательское пространство ОС. Разработанные датчики Microsoft Defender ATP обнаруживают вредоносный код, запущенный в ядре, и инъекции кода из ядра с помощью асинхронных вызовов процедур (APC).

    Датчики Microsoft Defender ATP сработали на программе PCManager от Huawei на нескольких устройствах Windows 10, что побудило Microsoft начать расследование.

    Расследование позволило найти код ядра, который вызвал срабатывание защиты. Исследователи провели обратную разработку драйвера HwOs2Ec10x64.sys и вышли на исполняемый файл MateBookService.exe. Как сообщается, уязвимость в механизме безопасности драйвера HwOs2Ec10x64.sys позволяет создать вредоносный исполняемый файл MateBookService.exe, чем и воспользовались неизвестные злоумышленники. Эксплуатация этой ошибки приводит к «полной компрометации компьютера», сказано в отчёте.

    Huawei опубликовала предупреждение безопасности и выпустила исправленную версию PCManager 9.0.1.66.
    Поделиться публикацией

    Комментарии 1

      0
      Вендорские драйвера — зло

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.