Windows Driver Model (WDM) មានភាពងាយរងគ្រោះចំនួន ៣៤ ចំនុចនិង Windows Driver Frameworks (WDF) drivers អាចត្រូវបានកេងចំណេញដោយហេគឃ័រដែលគ្មានសិទ្ធិ (Non-Privileged) ដើម្បីអាចគ្រប់គ្រងលើឧបករណ៍ និងប្រតិបត្តិការកូដតាមចិត្តនៅលើប្រព័ន្ធ Underlying Systems។
អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន VMware Carbon Black បានថ្លែងថា តាមរយៈការកេងចំណេញលើ Drivers ហេគឃ័រដែលគ្មានសិទ្ធិអាចលុប ឬប្តូរ Firmware និងអាចបង្កើនសិទ្ធិប្រតិបត្តិការក្នុង System។ អ្នកស្រាវជ្រាវបានពង្រីកការសិក្សាលើ Screwed Drivers និង POPKORN ដែលប្រើ Symbolic Execution ដោយស្វ័យប្រវត្តិដើម្បីស្វែងរក Drivers ដែលមានភាពងាយរងគ្រោះ។ អ្នកស្រាវជ្រាវក៏បានផ្តោតលើ Drivers ដែលមាន Firmware ដំណើរការតាមរយៈ Port I/O និង Memory-Mapped I/O។ Drivers ដែលងាយនឹងរងគ្រោះរួមមាន៖ ODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys និង TdkLib64.sys (CVE-2023-35841)។
នៅក្នុងចំណោម 34 Drivers ដែលងាយរងគ្រោះមាន Drivers ចំនួន 6 អនុញ្ញាត Kernel Memory Access ដែលអាចត្រូវបានកេងចំណេញ ដើម្បីបង្កើនសិទ្ធិ និងគេចពីការតាមចាប់របស់ប្រព័ន្ធសុវត្ថិភាព។ និង Drivers ចំនួន 12 អាចត្រូវបានកេងចំណេញ ដើម្បីបង្វែរយន្តការសុវត្ថិភាពដូចជា Kernel ដែលមានបង្ហាញ Space Layout Randomization (KASLR)។ រីឯ Drivers ចំនួន 7 ផ្សេងទៀតរួមមាន Intel’s stdcdrv64.sys អាចត្រូវបានប្រើសម្រាប់លុប Firmware នៅក្នុង SPI Flash Memory ដែលធ្វើឱ្យប្រព័ន្ធមិនអាចដំណើរការបាន (Unbootable)។ ក្រុមហ៊ុន Intel ក៏បានបញ្ចេញដំណោះស្រាយសម្រាប់បញ្ហានេះហើយ។
ក្រុមហ៊ុន VMware បានថ្លែងបន្តថា ក្រុមហ៊ុនក៏បានកំណត់ WDF Drivers ដូចជា WDTKernel.sys និង D20FFT64.sys ដែលគ្មានការគំរាមកំហែងក្នុងលក្ខខណ្ឌនៃការគ្រប់គ្រងការចូល ប៉ុន្តែបែរជាត្រូវបានហេគឃ័រប្រើសម្រាប់បង្កើនសិទ្ធិ ដើម្បីធ្វើការវាយប្រហារ Bring Your Own Vulnerable Driver (BYOVD) ទៅវិញ។ មានហេគឃ័រជាច្រើនបានប្រើប្រាស់បច្ចេកទេសនេះរួមមានក្រុម Lazarus កូរ៉េខាងជើង ប្រើជាមធ្យោបាយដើម្បីបង្កើនសិទ្ធិ និងបិទកម្មវិធីសុវត្ថិភាពដែលដំណើរការនៅលើ Compromised Endpoints ដើម្បីគេចពីការតាមចាប់។
ក្រុមហ៊ុន Haruyama បានថ្លែងថា បច្ចុប្បន្ន វិសាលភាព APIs/Instructions ដែលកំណត់ដោយ ( IDAPython Script សម្រាប់វិភាគកូដដោយស្វ័យប្រវត្តិ Drivers ងាយរងគ្រោះប្រភេទ x64 ) តូចចង្អៀត និងកំណត់ត្រឹមតែការចូលប្រើកម្មវិធី Firmware តែប៉ុណ្ណោះ។ ទោះជាយ៉ាងណា វានៅតែងាយស្រួលពង្រីកកូដដើម្បីគ្របដណ្តប់លើវ៉ិចទ័រវាយប្រហារផ្សេង (ឧ. ដំណើរការ Terminating Arbitrary)៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០២ ខែវិច្ឆិកា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
