Спецпроекты

Безопасность

В игровых ПК найдена брешь, открывающая хакерам доступ к ядру ОС

Проблема в предустановленном ПО на игровых ПК, унаследованная от опенсорсного драйвера, позволяет непривилегированным пользователям обходить антивирусы.

Проблемный наследник

Игровые ПК производства HP содержат серьезную уязвимость в предустановленном программном обеспечении, которая позволяет получать доступ к ядру операционной системы. Уязвимость CVE-2021-3437, которую выявили эксперты компании SentinelLabs, присутствует в ПО Omen Gaming Hub, предназначенном для оптимизации компьютерных систем для видеоигр.

Как отмечают исследователи, проблема унаследована из кода опенсорсного драйвера WinRing0.sys, чей код частично использовали разработчики OGH. Этот драйвер позволяет пользовательским приложениям производить различные привилегированные операции на уровне ядра через интерфейс IOCTLs. О том, что этот драйвер является глубоко проблемным, известно давно.

В реализации HP этот драйвер позволяет получать доступ к данным процессора через IOCTLs, используя модельно-зависимые регистры процессора (MSR).

haker600.jpg
Программный баг ставит под угрозу игровые компьютеры HP

«Эта высокоопасная уязвимость при успешной эксплуатации позволяет любому, даже лишенному каких-либо привилегий пользователю повышать их настолько, чтобы запускать код на уровне ядра, — пишут исследователи. — Среди наиболее очевидных способов использования такой уязвимости — обход антивирусов и других защитных продуктов».

В ходе дальнейшего развития атаки злоумышленники могут получать доступ и к другим компьютерным системам, находящимся в одной сети с уязвимым устройством.

Сеанс повторного бага

Любопытно, что еще в октябре 2019 г. компания SafeBreach отметила ту же самую уязвимость в том же драйвере, присутствовавшую в другой программной разработке HP — Touchpoint Analytics Software.

Исправления к нынешней проблеме HP выпустила 14 сентября 2021 г. Они могут быть установлены как автоматически, через систему обновления HP, так и вручную.

К настоящему моменту уязвимость исправлена, и нет никакой информации о том, что ее кто-то пытался эксплуатировать. Однако вряд ли пройдет много времени, прежде, чем первые подобные попытки будут отмечены.

«Здесь проявляются сразу две проблемы. Первая — это уязвимости, наследуемые из открытого ПО, и игровые решения, которые становятся объектами кибератак, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Количество кибератак на геймеров с начала 2020 г. резко возросло по общепонятным причинам, и, использовав уязвимый код, HP, к сожалению, открыла для таких атак новый вектор. Что особенно озадачивает, так это повторное появление одной и той же уязвимости в разных разработках одной и той же компании. По-видимому, соображения экономии усилий в определенный момент превалировали над безопасностью».

Роман Георгиев

Короткая ссылка