[情報] 駭客利用8年前的Intel驅動程式漏洞,在Wi

作者: hn9480412 (ilinker)   2023-01-13 11:22:25
駭客利用8年前的Intel驅動程式漏洞,在Windows電腦安裝惡意程式
文/林妍溱 | 2023-01-12發表
安全廠商Crowdstrike發現一個駭客組織利用8年前的Intel驅動程式漏洞繞過防毒軟體檢查安裝惡意程式,攻擊Windows電腦用戶。
研究人員發現名為Scattered Spider(或Roasted 0ktapus或UNC3944)的駭客組織近半年來,持續透過Intel Ethernet診斷驅動程式(iqvw64.sys)中編號CVE-2015-2291的漏洞,在用戶Windows電腦部署惡意的核心驅動程式。
研究人員解釋,這波攻擊是使用近年盛行的BYOVD(Bring Your Own Vulnerable Device)手法。這類手法是因應Windows防堵惡意程式執行的措施而生。自Windows Vista開始,微軟就封鎖未獲簽章的驅動程式執行,並在Windows 10進一步預設封鎖具已知漏洞的驅動程式。這讓駭客衍生出有漏洞或惡意驅動程式獲得合法簽章,藉以在Windows機器上執行。
Scattered Spider這波活動自去年6月起,攻擊電信及企業流程委外(BPO)等產業,目的在存取電信網路。研究人員觀察到的案例中,駭客使用竊取自知名業者如Nvidia、Global Software,以及自行簽發的測試用憑證通過Windows檢查,企圖繞過受害者機器中的安全軟體,包括微軟Defender for Endpoint、Palo Alto Networks Cortex XDR、SentinelOne等。
CVE-2015-2291漏洞存在1.3.1.0版本以前的IQVW32.sys,以及1.3.1.0版以前的IQVW64.sys,可使本地用戶0x80862013、0x8086200B、0x8086200F及0x80862007 IOCTL call發動阻斷服務攻擊,或以核心權限執行任意程式碼。英特爾在2016年5月即已修補。
安全廠商呼籲企業應確認是否安裝Intel顯示器驅動程式,並儘速更新到最新版本。
https://www.ithome.com.tw/news/155132
作者: abc21086999 (呵呵)   2023-01-13 11:23:00
還好我用AMD
作者: guezt   2023-01-13 11:26:00
AMD主機板有的會配intel網卡... XD
作者: yymeow (ㄚㄚ喵)   2023-01-13 11:42:00
一樓在反串嗎? 是intel網卡不是U
作者: jacktsai1243 (金)   2023-01-13 11:46:00
原來1樓用A的網卡啊
作者: dankyo (dan)   2023-01-13 11:49:00
intel怎麼連網卡也出包...
作者: ultratimes   2023-04-04 11:37:00
他打的又不是鮑爾或是骷髏伯,人家對他期待是打這些
作者: leiouter (雷歐特)   2023-01-13 11:52:00
笑屎
作者: samil1069 (巨根雙龍頂到肺)   2023-01-13 12:01:00
難道你要買AMD?
作者: ltytw (ltytw)   2023-01-13 12:15:00
不然你要買A?AMD在10M時代有出過網路卡 的吧?PC-net FAST III?我是在虛擬機裏面看到的
作者: yymeow (ㄚㄚ喵)   2023-01-13 12:23:00
現在網卡不是也只剩intel跟螃蟹? 其他Q/B/M好像都很少了
作者: ltytw (ltytw)   2023-01-13 12:24:00
以前10/100M時代什麼廠商都在做網卡 VIA也有的樣子
作者: andey (影子)   2023-01-13 12:32:00
樓上 D-Link 530TX 主機板還沒內建網路晶片時代的名卡,有名的爛,就是用VIA的網路晶片,同時期就是螃蟹的8139滿街跑的時代。
作者: Lowpapa (崩到你叫媽媽)   2023-01-13 13:24:00
難道你
作者: Cubelia (天空の夜明け)   2023-01-13 13:32:00
5GbE、10GbE有Aquantia(被Marvell收購),後者高階主板有但消費級市場還是螃蟹、I比較多前面一點就QCOM Atheros Killer,被I收購就I的晶片組了
作者: tactics2100 (Ose)   2023-01-13 13:44:00
主機板內建的無線網路 Intel是大宗
作者: TWN48 (台灣48)   2023-01-13 13:47:00
前面在講網卡驅動程式,最後一段突然變成顯示器驅動程式是在寫什麼鬼。
作者: canandmap (地圖上的流浪者)   2023-01-13 13:49:00
翻譯問題?
作者: st930324 (Googolplex Msater)   2023-01-13 14:19:00
作者: ILike58 (小菊花)   2023-01-13 14:48:00
d-link是不是有張530tx早期用過amd的晶片?那時的530tx就是出了名的裝不起來啊,一張五六百的樣子,後來都叫朋友乖乖去買intel或3m的網卡......
作者: Cubelia (天空の夜明け)   2023-01-13 15:05:00
也不知道為啥是寫Display,因為這確實是網卡驅動的東西
作者: whitefox (八十萬定存宅男)   2023-01-13 15:17:00
Intel殼螃蟹心啦
作者: SPDY (Alex)   2023-01-13 15:30:00
因為近年PCH甚至CPU已內建MAC 有線就只是需配顆PHY成本較低現在AMD只有做Alveo X3那種超低延遲交易用的有線網路卡是16nm的Virtex UltraScale+ FPGA 誰沒事做在或用在家用...
作者: Cubelia (天空の夜明け)   2023-01-13 15:54:00
晶片組內建MAC都Intel才有,近年AMD Ryzen embedded還導入10GbE MAC
作者: qqq3q   2023-01-13 15:59:00
intel的相容性就是好(包括病毒)
作者: SPDY (Alex)   2023-01-13 16:03:00
因為AMD從2011年起的晶片組名稱是FCH了 PCH是專指Intel啦XD
作者: ehai0725 (繪)   2023-01-13 18:00:00
沒事我用螃蟹
作者: changmary (changmary)   2023-01-13 18:48:00
還好我改華為
作者: Clarkliu (noname)   2023-01-13 20:51:00
intel在2016年五月就已修補<------->決不更新
作者: h311013   2023-01-13 22:29:00
又要上驅動debuff 了

Links booklink

Contact Us: admin [ a t ] ucptt.com