Jos haluaa pitää tietokoneensa saastumattomana, pitää käyttää virustorjuntaa ja olla hyvin huolellinen ladatessaan ohjelmistoja ja päivityksiä. Mutta entäpä jos Microsoftin sertifioimat ajurit ovat täynnä haavoittuvuuksia?
Näin näyttää käyneen. Tietoturvayritys Eclypsium on julkistanut raportin, jonka mukaan kymmenet ajurit kymmeniltä tunnetuilta laite- ja BIOS-valmistajilta pitävät sisällään haavoittuvuuksia. Yritysten lista on pitkä ja sisältää esimerkiksi nimet ASUS, Tjosha, Nvidia, Intel ja Huawei, Eclypsium kertoo. Lista pitenee koko ajan, koska yrityksiä ei julkisteta ennen kuin ne ovat saaneet korjauspäivityksen valmiiksi.
Eclypsiumin löytämät haavoittuvuudet päästävät hyökkääjän käsiksi koneen laiteresursseihin. Iso ongelma tulee siitä, että kyse on Microsoftin sertifioimista ajureista.
Haavoittuvuudet antavat ajurin toimia välimuistin (proxy) tapaan, jolla on oikeus päästä käsiksi esimerkiksi prosessorin luku- ja kirjoitusprosesseihin, eri rekistereihin, fyysiseen muistiin sekä kernelin virtuaalimuistiin. Käytännössä reiät päästävät hyökkääjän laitteen käyttöjärjestelmän kernelin kimppuun, mihin esimerkiksi laitteiden ylläpitäjillä ei ole koskaan oikeuksia.
Käytännössä ajurin haavoittuvuus antaa käyttäjäoikeuksilla toimivalle sovellukselle kernel-oikeudet. Haittaohjelma voisi skannata konetta ajurihaavoittuvuuksia löytääkseen ja sen jälkeen yrittää saada kone täydelliseen kontrolliin.
Ongelma koskee kaikkia uusia Windows-versioita. Tällä hetkellä ei ole olemassa mitään universaalia tapaa estää Windowsia lataamasta näitä viallisia ajureita päivitysten yhteydessä. Jos tällainen ajuri asentuu koneella, se voi maata raudalla pitkiäkin aikoja odottamassa hyväksikäyttöä, mikäli sitä ei päivitetä korjattuun versioon.
Lista haavoittuvuuksia sisältävien ajurien valmistajista löytyy Eclypsiumin sivuilta.