所有那些漏洞都容许驱动程序充当代理,以执行对硬件资源的高权限访问,比如对处理器和芯片组I/O空间的读写访问,模型特定寄存器(MSR),控制寄存器(CR),调试寄存器(DR),数学显存和内核虚拟显存,进而实现权限提高,由于它可以将功击者从用户模式(Ring3)联通到OS内核模式(Ring0)。保护环的概念总结在右图中,其中每位二环被逐步授予更多特权。值得注意的是,虽然是管理员也可以与其他用户一起在Ring3(但是没有更深层次)进行操作。访问内核除了可以为功击者提供操作系统可用的最高权限访问权限小型linux系统,还可以授予对具有更高权限(如系统BIOS固件)的硬件和固件插口的访问权限。
因为驱动程序一般是更新固件的手段,“驱动程序除了提供必要的权限,还提供进行修改的机制,”Eclypsium强调。若果系统中已存在易受功击的驱动程序,则恶意应用程序只需搜索它以提高权限。并且linux卸载驱动命令,假如驱动程序不存在linux卸载驱动命令,恶意应用程序可能会带驱动程序,但须要管理员批准才会安装驱动程序。
Eclypsium的首席研究员MickeyShkatov在给ZDNet的一份申明手指出红联linux论坛,“微软将使用其HVCI(虚拟机管理程序强制执行的代码完整性)功能,将报告给她们的驱动程序纳入黑名单。”但是,该功能仅适用于第7代及更高版本的英特尔处理器,因而在旧CPU或甚至禁用HCVI的较新CPU的情况下须要自动卸载驱动程序。
谷歌进一步澄清:“为了借助易受功击的驱动程序,功击者须要早已破坏了计算机。”但是,这儿的问题是,在上述特权级别表示中早已在Ring3上破坏了系统的功击者可以获得内核访问权限。
为了保护自己免受不良驱动诱因的影响,谷歌建议用户使用“WindowsDefender应用程序控制来制止已知的易受功击的软件和驱动程序”。它还表示,“客户可以通过为Windows安全中的功能强悍的设备启用显存完整性来进一步保护自己。”
Eclypsium提供了一个完整的列表,列举了所有早已在其博客文章中更新过驱动程序的供应商,虽然她们注意到一些受影响的供应商仍未榜上有名,由于她们仍在努力提供修补。研究人员都会在GitHub上传一份受影响的驱动程序及其哈希列表,便于用户可以在她们的设备上自动禁用它们。