在今年拉斯維加斯舉行的DEF CON會議上，來自網絡安全公司Eclypsium的研究人員分享了他們的調查結果。結果顯示，來自20家硬件供應商的40多名不同驅動程序包含的代碼包含缺陷，可能被利用來加劇特權攻擊升級。更令人擔憂的是，所有這些驅動程序都經過微軟認證。

受影響的公司名單包括主要的BIOS供應商以及華碩，華為，英特爾，NVIDIA和東芝等硬件製造商。Eclypsium還提醒說，這些驅動程序會影響所有版本的Windows，這意味著數百萬用戶可能面臨風險。

這些驅動程序造成的風險是它們可能允許用戶級別的惡意應用程序獲得內核權限，從而直接訪問固件和硬件本身。這也可能意味著惡意軟件可以直接安裝到固件中，因此，即使重新安裝操作系統也不足以擺脫它。

Eclypsium解釋了這些漏洞的的問題來源：

所有這些漏洞都允許驅動程序充當代理，以執行對硬件資源的高權限訪問，例如對處理器和芯片組I/O空間的讀寫訪問，模型特定寄存器（MSR），控制寄存器（CR），調試寄存器（DR），物理內存和內核虛擬內存，從而實現權限提升，因為它可以將攻擊者從用戶模式（Ring 3）移動到OS內核模式（Ring 0）。保護環的概念總結在下圖中，其中每個內環被逐漸授予更多特權。值得注意的是，即使是管理員也可以與其他用戶一起在Ring 3（並且沒有更深層次）進行操作。訪問內核不僅可以為攻擊者提供操作系統可用的最高權限訪問權限，還可以授予對具有更高權限（如係統BIOS固件）的硬件和固件接口的訪問權限。

由於驅動程序通常是更新固件的手段，“驅動程序不僅提供必要的權限，還提供進行更改的機制，”Eclypsium指出。如果系統中已存在易受攻擊的驅動程序，則惡意應用程序只需搜索它以提升權限。但是，如果驅動程序不存在，惡意應用程序可能會帶驅動程序，但需要管理員批准才能安裝驅動程序。

Eclypsium的首席研究員Mickey Shkatov在給ZDNet的一份聲明中指出，“微軟將使用其HVCI（虛擬機管理程序強制執行的代碼完整性）功能，將報告給他們的驅動程序列入黑名單。”但是，該功能僅適用於第7代及更高版本的英特爾處理器，因此在舊CPU或甚至禁用HCVI的較新CPU的情況下需要手動卸載驅動程序。

微軟進一步澄清：“為了利用易受攻擊的驅動程序，攻擊者需要已經破壞了計算機。”但是，這裡的問題是，在上述特權級別表示中已經在Ring 3上破壞了系統的攻擊者可以獲得內核訪問權限。

為了保護自己免受不良驅動因素的影響，微軟建議用戶使用“Windows Defender應用程序控制來阻止已知的易受攻擊的軟件和驅動程序”。它還表示，“客戶可以通過為Windows安全中的功能強大的設備啟用內存完整性來進一步保護自己。”

Eclypsium提供了一個完整的列表，列出了所有已經在其博客文章中更新過驅動程序的供應商，儘管他們注意到一些受影響的供應商尚未榜上有名，因為他們仍在努力提供修復。研究人員還會在GitHub上傳一份受影響的驅動程序及其哈希列表，以便用戶可以在他們的設備上手動禁用它們。