驱动程序中的漏洞可能会让人担心,甚至可能发展成严重的安全隐患。但是英特尔公司的安全专家们认为根本没必要发出什么警报,至少在目前没这个必要。
最近,英特尔公司的研究人员对被业内炒得沸沸扬扬的微软公司windows操作系统中的驱动程序中的漏洞进行了调查。 他们同时还注意收集了能够利用那些安全漏洞的恶意代码。他们希望能在核心级的驱动程序中找出问题的根源,避免攻击者侵入并完全控制存有漏洞的系统。
结果调查一无所获。
英特尔公司的高级信息安全专家大卫舒尔霍夫在计算机安全协会于星期一召开的网络安全年会上说:“很难发现一些对我们有用的东西。windows系统核心级驱动程序中并没有多少漏洞。”
对于计算机安全来说,设备驱动程序中的漏洞可能会成为一个严重的安全隐患,因为从理论上来说,攻击者可以利用那些漏洞获得系统的完全控制权。但是英特尔公司的安全专家们认为它们的风险系数并不高,因为大家都已经知道的问题并不多,而黑客们总是喜欢利用那些易于被利用的漏洞。
业内其他安全专家的看法与英特尔公司安全专家的意见一致。mcafee公司全球安全隐患小组的高级经理蒙蒂伊泽曼说:“实际上,设备驱动程序中的漏洞很少。与经常导致dos攻击的用户模式漏洞相比,设备驱动程序的安全漏洞很难被攻击者利用。”
但是最近,驱动程序中的漏洞越来越受到业内安全专家们的关注。 比如,微软公司正在为驱动程序开发商开发各种工具软件,让他们可以利用各种工具软件来扫描他们编写的代码。 微软公司担心驱动程序中的安全漏洞可能会损害使用windows系统的电脑。
操作系统要求它的驱动程序能够运行电脑中内置的硬件和连接到电脑的硬件。如果驱动程序中存在安全漏洞,那将会带来很多的麻烦。 尤其是核心模式的驱动程序出错的话,可能会导致系统完全崩溃并最终发生蓝屏死机现象。
由于核心模式驱动程序在windows系统中拥有最高级别的特权,因此与它们有关的安全漏洞对于黑客们来说是非常有用的。舒尔霍夫说:“如果你能利用某个运行在核心级别上的安全漏洞的话,你就拥有了通向系统内核王国的钥匙。”
英特尔公司的安全专家们发现了许多与核心有关的安全漏洞,但是那些漏洞最终并没有打开通向系统核心的道路。
苏尔霍夫说:“另一个问题是,这次发现的许多问题实际上都是一些第三方软件中的老问题。实际上要想得到漏洞代码是不可能的。”
而且,英特尔公司发现的许多安全漏洞都是一些本地漏洞,也就是说攻击者无法通过远程的方式对存有漏洞的系统发动攻击,他们只有使用目标电脑才能发动攻击以及提高自己的系统权限。这些问题当然不容忽视,但是不会造成远程攻击的安全漏洞也不会具有很大的严重性。
此外,事实证明核心模式的驱动程序中的漏洞代码是很不稳定的,因为要想编写那个级别的恶意攻击代码也不是一件容易的事。舒尔霍夫说:“你不可能在偶然的情况下进入到系统核心中;在没有得到系统核心访问权限的情况下,要想让系统崩溃也是一件不太可能的事。”
趋势科技公司高级隐患分析师和研究员伊凡马卡林托说,因为编写与驱动程序有关的恶意代码是一件非常复杂而沉闷的事,因此过去很少有攻击可以深入到核心级。他说:“由于编写与核心有关的恶意代码绝非一件简单的事情,因此我们过去并没有发现过很多核心级的恶意代码。”
除了核心模式驱动程序之外,windows系统还与用户模式驱动程序一起工作,用户模式驱动程序负责运行打印机、显卡、usb设备和其他某些硬件。那种软件一般没有什么特权,因而针对它们的攻击代码不会造成多大的安全风险。 那些驱动程序有一部分是由微软公司编写的,也有一部分是由硬件厂商如英特尔公司编写的。
最后,英特尔公司的研究人员在微软公司编写的名为tcpip.sys的驱动程序中发现了一个安全漏洞。微软公司在去年四月份就发布了针对那个安全漏洞的补丁,相关的安全公告编号是ms 05-019。关于这个安全漏洞的恶意代码是公开的,任何人都可以很容易获得。
从理论上来说,发出那个代码就可以获得系统的完全控制权,但是舒尔霍夫发现那个恶意代码本身也是不稳定的。他说:“我从来都没有利用它获得过完全的系统权限,但是用它来发动dos攻击的话却十分有效。 它可以完全锁住系统。”
舒尔霍夫说,虽然英特尔公司没能在研究中发现核心级恶意代码,但是那并不表示人们不必对这种问题采取谨慎态度。他在自己的电脑中的windows系统文件夹中发现了336个后缀名为sys的驱动程序文件。 其中有218个驱动程序文件是由微软公司编写的,24个是由一些他信得过的其他硬件厂商编写的。但是仍有94个驱动程序文件非常可疑。
舒尔霍夫说:“这里肯定有问题。是谁将这些驱动程序放到你的系统中的呢?你认为他们编写的代码都是
