PMx驱动漏洞使设备被黑客获取完全访问权限

Eclypsium 专家发现了一个影响流行的PMx驱动程序Intel驱动程序的漏洞，该漏洞可以使攻击者深入访问设备。

今年八月，Eclypsium的研究人员在数十家供应商的40多个设备驱动程序中发现了多个严重漏洞，其中包括AMI、ASRock、华硕、ATI、Biostar、EVGA、Getac、千兆字节、华为、Insyde、英特尔、MSI、NVIDIA、凤凰科技、Realtek、SuperMicro和东芝。

专家警告说，攻击者可以利用这些漏洞在易受攻击的系统上部署持久后门。

专家指出，从他们向供应商报告了该问题以来，只有英特尔和华为向他们提供了补丁和咨询，Insyde和 Phoenix则向其OEM客户提供了补丁。

根据Eclypsium的说法，英特尔解决了其PMx驱动程序（PMxDrv）中的一个漏洞。利用该漏洞可以完全访问设备。驱动程序实现了所有功能，包括对物理内存的读写、特定于模型的寄存器、控制寄存器、IDT和GDT描述符表、调试寄存器、增益I/O和PCI访问。

Eclypsium发布的分析报告中写道：“这种访问级别可以让攻击者几乎无所不能地控制受害设备。同样重要的是，这一功能早在1999年就已作为许多英特尔ME和BIOS相关工具集的主要组件包含在其中。更讽刺的是，由英特尔发布检测和缓解近期AMT漏洞的工具中就包含了易受攻击的驱动程序。”

专家建议用户和组织为支持该功能的设备启用Hypervisor protected Code Integrity（HVCI）——受虚拟机管理程序保护的代码完整性。

该选项仅适用于第7代或更高版本的处理器，新的处理器功能（例如基于模式的执行控制），这意味着在许多设备上无法启用HVCI。

报告总结道：“当今唯一可能有效的办法是封锁或将已知的旧的坏的驱动程序列入黑名单。为此，我们要特别赞扬UEFI固件供应商Insyde Software的响应。在今年夏初我们通知的19个供应商中，Insyde是迄今为止唯一主动与Microsoft联系并要求阻止旧版本驱动程序的供应商。由于此请求，Windows Defender将主动隔离驱动程序的漏洞版本，以免对系统造成损害。”