Microsoft рассказала о закрытой уязвимости в драйвере Huawei на ноутбуках MateBook под Windows 10
Как объяснили исследователи Microsoft, сторонние драйверы ядра становятся всё более привлекательными для злоумышленников для атаки на ядро операционной системы. В этом случае хакерам не требуется преодолевать защиту ядра с помощью дорогостоящих эксплойтов и 0day для Windows.
Ошибку в программном обеспечении Huawei обнаружили новая система безопасности ядра Microsoft Defender ATP, которую внедрили в октябрьском обновлении Windows 10 (версия 1809). Система разработана в качестве меры реагирования на эпидемию зловреда-вымогателя WannaCry в 2017 года, вызвавшей хаос в Национальной службе здравоохранения Великобритании и заразившей около 200 000 компьютеров под Windows по всему миру.
В частности, система детектирует такие вредоносные программы, как бэкдор-закладка DoublePulsar от АНБ, о котором стало известно после утечки исходников АНБ, организованной хакерами The Shadow Brokers. Бэкдор DoublePulsar работает в режиме ядра и он использовался для доставки WannaCry в пользовательское пространство ОС. Разработанные датчики Microsoft Defender ATP обнаруживают вредоносный код, запущенный в ядре, и инъекции кода из ядра с помощью асинхронных вызовов процедур (APC).
Датчики Microsoft Defender ATP сработали на программе PCManager от Huawei на нескольких устройствах Windows 10, что побудило Microsoft начать расследование.
Расследование позволило найти код ядра, который вызвал срабатывание защиты. Исследователи провели обратную разработку драйвера HwOs2Ec10×64.sys и вышли на исполняемый файл MateBookService.exe. Как сообщается, уязвимость в механизме безопасности драйвера HwOs2Ec10×64.sys позволяет создать вредоносный исполняемый файл MateBookService.exe, чем и воспользовались неизвестные злоумышленники. Эксплуатация этой ошибки приводит к «полной компрометации компьютера», сказано в отчёте.
Huawei опубликовала предупреждение безопасности и выпустила исправленную версию PCManager 9.0.1.66.
