في الآونة الأخيرة، نشر باحث أمني تغريدة على
وفقًا للتقارير، يمكن للمهاجمين استخدام نقاط الضعف هذه لتصعيد الامتيازات من حقوق المستخدم العادية إلى أعلى امتيازات النظام، وتجاوز حماية KASLR (التوزيع العشوائي لتخطيط مساحة عنوان Kernel)، وسرقة بيانات اعتماد kernel، وحتى تعديل جدول رد اتصال kernel لإخفاء السلوك الضار.
نظرًا لأن جميع برامج التشغيل المعنية لديها توقيعات EV أو WHQL رسمية، يمكن للمهاجمين تحميل حمولات ضارة مباشرة دون تثبيت برامج إضافية على الجهاز المستهدف، وتكون عتبة الهجوم منخفضة للغاية.
من بينها، يحتوي برنامج التشغيل kdhacker64_ev.sys الخاص بـ Kingsoft Antivirus على عيوب واضحة في تخصيص المخزن المؤقت.
عندما يقوم برنامج التشغيل بمعالجة إدخال المستخدم، يكون حجم المخزن المؤقت المخصص نصف الحجم الفعلي المطلوب فقط، مما يتسبب في كتابة 1160 بايت من البيانات في 584 بايت فقط من المساحة، مما يتسبب مباشرة في تجاوز سعة تجمع kernel بمقدار 512 بايت.
ومن الجدير بالذكر أن السائق يحمل توقيع EV صالحًا، مما يعني أنه يمكن للمهاجم استخدام هذه الثغرة الأمنية لتجاوز عمليات فحص أمان النظام بسهولة وتحقيق التحكم الكامل في الجهاز.
تنعكس ثغرة أمنية 360 Security Guard في برنامج التشغيل DsArk64.sys.
يسمح برنامج التشغيل هذا بتمرير معرف العملية المكون من 4 بايت عبر واجهة IOCTL، ويستدعي مباشرة وظيفة ZwTerminateProcess على مستوى Ring 0، والتي يمكنها إنهاء أي عملية بالقوة وحتى تجاوز آلية PPL (العملية المحمية)، مما يشكل تهديدًا للعملية الأساسية للنظام.
ليس هذا فحسب، فوظيفة القراءة والكتابة في نواة برنامج التشغيل تستخدم خوارزمية التشفير AES-128-CBC، ولكن مفتاح فك التشفير الخاص بها مشفر بشكل ثابت في قسم .data بالملف الثنائي، وتستخدم جميع الإصدارات نفس المفتاح، مما يقلل بشكل كبير من صعوبة اختراق المهاجمين.
حاليًا، تم تقديم هاتين الثغرات عالية الخطورة إلى قاعدة بيانات LOLDrivers.
