Кто уже обновил драйверы после находки в контроллере картридеров Realtek.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Обычный картридер в ноутбуке оказался способен вмешиваться в работу оперативной памяти в обход Windows и средств защиты. Специалист ZwClose показал, как уязвимость в драйвере Realtek позволяет непривилегированной программе получить доступ к физической памяти компьютера через механизм прямого доступа к памяти.
Проблема затрагивает драйверы картридеров Realtek для Windows. Первые уязвимости специалист обнаружил еще в январе 2022 года. Производитель выпустил исправления, однако позднее выяснилось, что одна из наиболее опасных возможностей сохранилась. Драйвер по-прежнему позволял программам без повышенных прав управлять регистрами устройства и через них обращаться к контроллеру прямого доступа к памяти.
Такой механизм позволяет устройствам обмениваться данными с оперативной памятью без участия центрального процессора. На уровне физической памяти отсутствуют привычные границы между процессами, ядром системы и пользовательскими программами. Более того, подобные операции проходят незаметно для Windows и средств обнаружения атак.
Чтобы доказать, что ошибка опасна, специалист создал рабочий пример атаки. Программа из пользовательского режима управляет картридером, формирует команды для контроллера и записывает данные с карты памяти по произвольному физическому адресу. Из-за 32-разрядной адресации устройства доступ ограничен первыми 4 ГБ физической памяти, но этого достаточно, чтобы вмешаться в работу других процессов.
Чтобы разработать рабочий пример, потребовалось несколько месяцев. Realtek не публикует подробную документацию на устройство, поэтому специалист изучал код драйвера и открытые драйверы для других операционных систем. Одной из главных сложностей стал поиск способа передать контроллеру адрес нужной области памяти. Решением послужил собственный буфер команд картридера, физический адрес которого можно получить через уязвимый драйвер.
В демонстрации программа записала содержимое сектора карты памяти непосредственно в физические страницы, принадлежавшие другому процессу. Атака показала, что непривилегированное приложение способно менять чужую память без обычных обращений к операционной системе.
Realtek потребовалось несколько попыток, чтобы полностью устранить проблему. Первые исправления оказались недостаточными, а окончательное обновление вышло в августе 2024 года. Производитель удалил управляющие команды, позволявшие программам обращаться к регистрам устройства и передавать собственные команды, а новые версии драйвера также включают переназначение прямого доступа к памяти.
Dell и Lenovo после отдельного уведомления обновили пакеты драйверов для затронутых моделей ноутбуков . Проблема может касаться устройств и других производителей. Специалист рекомендует проверить версии файлов RtsPer.sys и RtsUer.sys и установить свежие драйверы через каталог обновлений Windows, если используются устаревшие версии.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Обычный картридер в ноутбуке оказался способен вмешиваться в работу оперативной памяти в обход Windows и средств защиты. Специалист ZwClose показал, как уязвимость в драйвере Realtek позволяет непривилегированной программе получить доступ к физической памяти компьютера через механизм прямого доступа к памяти.
Проблема затрагивает драйверы картридеров Realtek для Windows. Первые уязвимости специалист обнаружил еще в январе 2022 года. Производитель выпустил исправления, однако позднее выяснилось, что одна из наиболее опасных возможностей сохранилась. Драйвер по-прежнему позволял программам без повышенных прав управлять регистрами устройства и через них обращаться к контроллеру прямого доступа к памяти.
Такой механизм позволяет устройствам обмениваться данными с оперативной памятью без участия центрального процессора. На уровне физической памяти отсутствуют привычные границы между процессами, ядром системы и пользовательскими программами. Более того, подобные операции проходят незаметно для Windows и средств обнаружения атак.
Чтобы доказать, что ошибка опасна, специалист создал рабочий пример атаки. Программа из пользовательского режима управляет картридером, формирует команды для контроллера и записывает данные с карты памяти по произвольному физическому адресу. Из-за 32-разрядной адресации устройства доступ ограничен первыми 4 ГБ физической памяти, но этого достаточно, чтобы вмешаться в работу других процессов.
Чтобы разработать рабочий пример, потребовалось несколько месяцев. Realtek не публикует подробную документацию на устройство, поэтому специалист изучал код драйвера и открытые драйверы для других операционных систем. Одной из главных сложностей стал поиск способа передать контроллеру адрес нужной области памяти. Решением послужил собственный буфер команд картридера, физический адрес которого можно получить через уязвимый драйвер.
В демонстрации программа записала содержимое сектора карты памяти непосредственно в физические страницы, принадлежавшие другому процессу. Атака показала, что непривилегированное приложение способно менять чужую память без обычных обращений к операционной системе.
Realtek потребовалось несколько попыток, чтобы полностью устранить проблему. Первые исправления оказались недостаточными, а окончательное обновление вышло в августе 2024 года. Производитель удалил управляющие команды, позволявшие программам обращаться к регистрам устройства и передавать собственные команды, а новые версии драйвера также включают переназначение прямого доступа к памяти.
Dell и Lenovo после отдельного уведомления обновили пакеты драйверов для затронутых моделей ноутбуков . Проблема может касаться устройств и других производителей. Специалист рекомендует проверить версии файлов RtsPer.sys и RtsUer.sys и установить свежие драйверы через каталог обновлений Windows, если используются устаревшие версии.
- Источник новости
- www.securitylab.ru