Ovladače v režimu jádra jsou kritické, ale rizikové součásti operačního systému Windows. Přečtěte si o jejich funkčnosti, nebezpečích, která představují, a o tom, jak mohou nové zásuvné moduly Tenable pomoci identifikovat a zmírnit zranitelnosti pomocí zdrojů řízených komunitou, jako je LOLDrivers.

Windows je operační systém, který za více než 40 let své historie vyvinul více než několik tajemných komponent, které jsou pro mnohé systémové administrátory záhadou. Ovladač režimu jádra je jednou z komponent, která je v dnešní době čerstvá v myslích mnoha těchto administrátorů.

Co je ovladač režimu jádra?

Ovladače v režimu jádra fungují na vyšší úrovni oprávnění než ovladače v uživatelském režimu a poskytují aplikacím v systému Windows způsob přímé interakce s jádrem Windows a hardwarem. To umožňuje hrám komunikovat přímo s grafickou kartou nebo bezpečnostním produktem. hovořit přímo se základními součástmi operačního systému. Když váš software potřebuje komunikovat s nejvyšší úrovní efektivity, nepřijímejte žádnou náhradu!

Proč jsou ovladače v režimu jádra rizikové?

Pokud se ovladač v režimu jádra chová n

esprávně, může to způsobit mnohem závažnější problémy se systémem Windows než ovladače v uživatelském režimu. Problémy mohou sahat od poškození dat a poškození operačního systému až po úplné zhroucení a nemožnost používat stroj. Nedávný celosvětový počítačový incident byl způsoben aktualizací ovladače režimu jádra v oblíbeném produktu pro zabezpečení koncových bodů.

To znamená, že tisíce softwarových produktů každý den bezpečně používají ovladače v režimu jádra na miliardách zařízení. Ovladač v režimu jádra v aktivu Windows je normální a obvykle není důvodem k obavám. Existují však některé ovladače, které by měli správci systému Windows sledovat.

O které ovladače v režimu jádra bych se měl starat?

Některé široce distribuované ovladače v režimu jádra obsahují zranitelnosti, které jsou útočníkům známy. Tito útočníci vědí, že když prolomí počítač se systémem Windows, mohou se podívat na ovladače v režimu jádra, které na něm běží, a zjistit, zda některý z nich nezná a lze jej snadno použít ke zvýšení jejich oprávnění na počítači.

S administrátorskými právy mohou útočníci samozřejmě také nahrát nové ovladače do počítače. Mohou se pokusit nainstalovat známý zranitelný ovladač nebo na míru vyrobený škodlivý ovladač, aby si poskytli více nástrojů k ovládání hostitele oběti.

V posledních několika letech se objevila komunitní iniciativa nazvaná LOLDrivers – nebo „Living Off the Land Drivers“, odkazující na útočníky, kteří „žijí mimo zemi“ pomocí nástrojů, které již mají na svém počítači oběti, a katalogizovala známé zranitelné nebo škodlivé řidiče. Udržováním aktuálního seznamu těchto problematických ovladačů si projekt klade za cíl poskytnout cenný zdroj pro bezpečnostní profesionály, kteří se chtějí proti těmto technikám bránit. Začlenění tohoto seznamu do bezpečnostních nástrojů, jako jsou zásuvné moduly pro výčet ovladačů, umožňuje proaktivní detekci a zmírnění hrozeb dříve, než mohou způsobit škodu.

Co dělá Tenable pro zmírnění tohoto rizika?

Společnost Tenable Research vyvinula novou sadu zásuvných modulů pro Tenable Nessus, Tenable Security Center, Tenable Vulnerability Management a Tenable One, aby pomohla odborníkům získat přehled o rizikových ovladačích třetích stran na jejich aktivech.

Nejprve zásuvný modul Windows System Driver Enumeration zobrazí seznam ovladačů v režimu jádra od třetích stran (tj. těch, které neposkytuje společnost Microsoft) nainstalovaných na počítači se systémem Windows. Výsledky skenování zdokumentují všechny zjištěné systémové ovladače třetích stran a mohou poskytnout inventář napříč populací Windows organizace. Výsledky samy o sobě nenaznačují škodlivou aktivitu – představují způsob, jak poskytnout povědomí o tom, které ovladače mají privilegovaný přístup k počítačům se systémem Windows. Za druhé, plugin LOLDrivers Detected porovná seznam ovladačů zjištěných v předchozím pluginu se seznamem publikovaným projektem LOLDrivers. O těchto ovladačích je známo, že jsou škodlivé, nebo jsou zranitelné vůči známým útokům a měly by být napraveny.

Tenable Research doporučuje pravidelně kontrolovat výsledky pro druhý plugin a zkoumat je kontrolou příslušného záznamu na webu LOLDrivers. Pokud je zjištěn škodlivý soubor, je vhodné zahájit vyšetřování incidentu, jako byste to udělali v každém případě detekce malwaru. Známý zranitelný ovladač by měl být aktualizován v souladu s pokyny od dodavatele, který ovladač poskytl.

Pokud existuje obava o legitimní ovladač, který by mohl mít dopad na životní prostředí, modul výčtu umožní širší pohled do inventáře ovladačů organizace pro rychlejší způsob identifikace postižených aktiv. Nejste si jisti, co byste měli dělat s konkrétním detekovaným ovladačem? Obraťte se na dodavatele, který ovladač vytvořil, protože je nejlepším zdrojem pro poskytnutí podrobností o tom, jak se používá s jejich softwarem a proč potřebuje přístup k jádru.

Zvýšení povědomí o zabezpečení pomocí nástrojů pro výčet ovladačů

Udržet si náskok před potenciálními hrozbami je zásadní. Nový plugin pro výčet ovladačů, využívající sílu projektu LOLDrivers, nabízí praktické a efektivní řešení pro zvýšení zabezpečení systému zlepšením povědomí bezpečnostního týmu o zdroji rizika pro jejich aktiva Windows.

Zdroj: Tenable

Ohodnoťte prosím příspěvek. Díky tomu budeme vědět, na jaký obsah se v budoucnu soustředit.

Chcete být informováni o nových článcích na blogu Solutia?

Sledujte aktuální novinky a trendy z IT světa na našem profilu.

Sledovat na LinkedIn