Рекомендации по ограничению высокого привилегированного поведения в драйверах режима ядра
В этом разделе приведены небезопасные шаблоны разработки, которые могут привести к эксплуатации и злоупотреблению кодом драйвера ядра Windows. В этом разделе приведены рекомендации по разработке и примеры кода, помогающие ограничить привилегированное поведение. Следуя этим рекомендациям, вы сможете повысить безопасность привилегированного поведения в ядре Windows.
Общие сведения о небезопасном поведении драйвера
Хотя ожидается, что драйверы Windows выполняют высокий уровень привилегий в режиме ядра, не выполняя проверки безопасности и добавляя ограничения на привилегированное поведение, неприемлемо. Программа совместимости оборудования Windows (WHCP), ранее WHQL, требует отправки новых драйверов для соблюдения этого требования.
Примеры небезопасного и опасного поведения включают в себя, но не ограничиваются следующими:
- Предоставление возможности чтения и записи в произвольные регистры компьютеров (MSR)
- Предоставление возможности завершения произвольных процессов
- Предоставление возможности чтения и записи на входы и выходы порта
- Предоставление возможности чтения и записи ядра, физического или памяти устройства
Предоставление возможности чтения и записи MSR
Повышение безопасности при чтении из MSR
В этом примере ReadMsr драйвер допускает небезопасное поведение, разрешая всем без исключения регистрам произвольно считываться с помощью встроенной в регистры модели __readmsr функции. Это может привести к злоупотреблению вредоносными процессами в пользовательском режиме.
Func ReadMsr(int dwMsrIdx)
{
int value = __readmsr(dwMsrIdx); // Unsafe, can read from any MSR
return value;
}
Если для сценария требуется чтение из MSR, драйвер должен всегда проверять, что регистр для чтения ограничен ожидаемым индексом или диапазоном. Два примера реализации безопасной операции чтения.
Func ConstrainedReadMsr(int dwMsrIdx)
{
int value = 0;
if (dwMsrIdx == expected_index) // Blocks from reading anything
{
value = __readmsr(dwMsrIdx); // Can only read the expected MSR
}
else
{
return error;
}
return value;
}
// OR
Func ConstrainedReadMsr(int dwMsrIdx)
{
int value = 0;
if (min_range <= dwMsrIdx <= max_range) // Blocks from reading anything
{
value = __readmsr(dwMsrIdx); // Can only from the expected range of MSRs
}
else
{
return error;
}
return value;
}
Повышение безопасности записи в MSR
В первом примере WriteMsr драйвер допускает небезопасное поведение, позволяя произвольную запись в любые регистры. Это может привести к злоупотреблению вредоносными процессами для повышения привилегий в пользовательском режиме и записи во все MSR.
Func WriteMsr(int dwMsrIdx)
{
int value = __writemsr(dwMsrIdx); // Unsafe, can write to any MSR
return value;
}
Если для сценария требуется запись в MSR, драйвер должен всегда проверять, что регистр для записи ограничен ожидаемым индексом или диапазоном. Два примера реализации безопасной операции записи.
Func ConstrainedWriteMsr(int dwMsrIdx)
{
int value = 0;
if (dwMsrIdx == expected_index) // Blocks from reading anything
{
value = __writemsr(dwMsrIdx); // Can only write to the expected constrained MSR
}
else
{
return error;
}
return value;
}
// OR
Func ConstrainedWriteMSR(int dwMsrIdx)
{
int value = 0;
if (min_range <= dwMsrIdx <= max_range) // Blocks from reading anything
{
value = __writemsr(dwMsrIdx); // Can only write to the expected constrained MSR
}
else
{
return error;
}
return value;
}
Предоставление возможности завершения процессов
При реализации функциональных возможностей в драйвере, которые позволяют завершать процессы, необходимо проявлять крайнюю осторожность. Защищенные процессы и легкие защищенные процессы (PPL), например, те, которые используются в решениях для защиты от вредоносных программ и антивирусной защиты, не должны быть прекращены. Предоставление этой функции позволяет злоумышленникам прекратить защиту безопасности в системе.
Если для сценария требуется завершение процесса, для защиты от произвольного завершения процесса необходимо выполнить следующие проверки, используя PsLookupProcessByProcessId и PsIsProtectedProcess
:
Func ConstrainedProcessTermination(DWORD dwProcessId)
{
// Function to check if a process is a Protected Process Light (PPL)
NTSTATUS status;
BOOLEAN isPPL = FALSE;
PEPROCESS process;
HANDLE hProcess;
// Open the process
status = PsLookupProcessByProcessId(processId, &process);
if (!NT_SUCCESS(status)) {
return FALSE;
}
// Check if the process is a PPL
if (PsIsProtectedProcess(process)) {
isPPL = TRUE;
}
// Dereference the process
ObDereferenceObject(process);
return isPPL;
}
Предоставление возможности чтения и записи данных на вход и выход порта
Повышение уровня безопасности при чтении из порта ввода-вывода
Необходимо проявлять осторожность при предоставлении возможности чтения из порта ввода-вывода (I/O). Этот пример кода, использующий __indword, небезопасн.
Func ArbitraryInputPort(int inPort)
{
dwResult = __indword(inPort); // Unsafe, allows for arbitrary reading from Input Port
return dwResult;
}
Чтобы предотвратить злоупотребление и эксплойт драйвера, ожидаемый порт ввода должен быть ограничен требуемой границей использования.
Func ConstrainedInputPort(int inPort)
{
// The expected input port must be constrained to the required usage boundary to prevent abuse
if(inPort == expected_InPort)
{
dwResult = __indword(inPort);
}
else
{
return error;
}
return dwResult;
}
Повышение безопасности записи в порт ввода-вывода
Необходимо соблюдать осторожность при предоставлении возможности записи в порт ввода-вывода (I/O). Этот пример кода, использующий __outword, небезопасн.
Func ArbitraryOutputPort(int outPort, DWORD dwValue)
{
__outdword(OutPort, dwValue); // Unsafe, allows for arbitrary writing to Output Port
}
Чтобы предотвратить злоупотребление и эксплойт драйвера, ожидаемый порт ввода должен быть ограничен требуемой границей использования.
Func ConstrainedOutputPort(int outPort, DWORD dwValue)
{
// The expected output port must be constrained to the required usage boundary to prevent abuse
if(outPort == expected_OutputPort)
{
__outdword(OutPort, dwValue); // checks on InputPort
}
else
{
return error;
}
}
Предоставление возможности чтения и записи ядра, физической или памяти устройства
Повышение безопасности Memcpy
В этом примере кода показаны неограниченное и небезопасное использование физической памяти.
Func ArbitraryMemoryCopy(src, dst, length)
{
memcpy(dst, src, length); // Unsafe, can read and write anything from physical memory
}
Если в вашем сценарии требуется чтение и запись ядра, физической или памяти устройства, драйвер должен всегда проверять, что исходный и целевой объекты ограничены ожидаемыми индексами или диапазонами.
Func ConstrainedMemoryCopy(src, dst, length)
{
// valid_src and valid_dst must be constrained to required usage boundary to prevent abuse
if(src == valid_Src && dst == valid_Dst)
{
memcpy(dst, src, length);
}
else
{
return error;
}
}
Повышение безопасности ZwMapViewOfSection
В следующем примере показан небезопасный и неправильный метод для чтения и записи физической памяти из пользовательского режима с помощью API ZwOpenSection и ZwMapViewOfSection.
Func ArbitraryMap(PHYSICAL_ADDRESS Address)
{
ZwOpenSection(&hSection, ... ,"\Device\PhysicalMemory");
ZwMapViewOfSection(hSection, -1, 0, 0, 0, Address, ...);
}
Чтобы предотвратить злоупотребление и эксплуатацию поведения драйвера на чтение и запись вредоносными процессами пользовательского режима, драйвер должен проверить входной адрес и ограничить отображение памяти только необходимой границей использования для данного сценария.
Func ConstrainedMap(PHYSICAL_ADDRESS paAddress)
{
// expected_Address must be constrained to required usage boundary to prevent abuse
if(paAddress == expected_Address)
{
ZwOpenSection(&hSection, ... ,"\Device\PhysicalMemory");
ZwMapViewOfSection(hSection, -1, 0, 0, 0, paAddress, ...);
}
else
{
return error;
}
}
Повышение безопасности MmMapLockedPagesSpecifyCache
В следующем примере показан небезопасный и неправильный метод для чтения и записи физической памяти из пользовательского режима с помощьюapi
Func ArbitraryMap(PHYSICAL_ADDRESS paAddress)
{
lpAddress = MmMapIoSpace(paAddress, qwSize, ...);
pMdl = IoAllocateMdl( lpAddress, ...);
MmMapLockedPagesSpecifyCache(pMdl, UserMode, ... );
}
Чтобы предотвратить злоупотребление и эксплуатацию поведения драйвера на чтение и запись вредоносными процессами пользовательского режима, драйвер должен проверить входной адрес и ограничить сопоставление памяти только необходимой границей использования для сценария.
Func ConstrainedMap(PHYSICAL_ADDRESS paAddress)
{
// expected_Address must be constrained to required usage boundary to prevent abuse
if(paAddress == expected_Address && qwSize == valid_Size)
{
lpAddress = MmMapIoSpace(paAddress, qwSize, ...);
pMdl = IoAllocateMdl( lpAddress, ...);
MmMapLockedPagesSpecifyCache(pMdl, UserMode, ... );
}
else
{
return error;
}
}