RtsPer.sys: как крохотный драйвер едва не стал глобальной угрозой

leer en español

RtsPer.sys: как крохотный драйвер едва не стал глобальной угрозой

Уязвимость оставалась невидимой целый год, пока Realtek не спохватилась.

image

В SD-картридерах от Realtek обнаружены серьёзные уязвимости, которые угрожают безопасности ноутбуков от ведущих мировых производителей, включая Dell и Lenovo. Проблемы связаны с драйвером «RtsPer.sys», который позволяет злоумышленникам без прав администратора Windows читать и записывать в физическую память устройства, а также получать доступ к ядру системы.

Уязвимости впервые были обнаружены в январе 2022 года при анализе устройств в системе Windows Object Manager. Драйвер отличался слишком открытыми правами доступа, что дало возможность глубже изучить его уязвимости. В апреле 2022 года Realtek выпустила первую исправленную версию, но одна из ключевых проблем с доступом через DMA-контроллер осталась незамеченной. Это упущение обнаружилось лишь спустя год при повторной проверке.

Проблема затрагивает ряд моделей SD-картридеров, включая RTS5260 и RTS5228, а также используется в ноутбуках таких производителей, как Dell, HP, Lenovo и MSI. Помимо прочего, уязвимости позволяют злоумышленникам извлекать данные из ядра, управлять памятью и обходить защитные механизмы операционной системы.

Хотя Realtek ещё в 2022 году заявила, что исправила сразу пять уязвимостей ( CVE-2022-25476, CVE-2022-25477, CVE-2022-25478, CVE-2022-25479 и CVE-2022-25480 ), тем не менее, уязвимость CVE-2022-25476 не была полностью устранена вплоть до выхода недавнего исправления. Вместе с ней были исправлены ещё две новых уязвимости: CVE-2024-40431 и CVE-2024-40432.

Одной из наиболее опасных ошибок стала CVE-2022-25479 — утечка данных из ядра, которая открывает путь для дальнейших атак на систему. Другие уязвимости, такие как CVE-2022-25480 и CVE-2024-40431, позволяют записывать данные в произвольные адреса ядра, создавая возможность захвата системы. Эти проблемы серьёзно увеличивают риск эксплуатации, особенно в системах, где драйвер не был обновлён до версии 10.0.26100.21374 или выше.

Изначально исследователь, ответственный за обнаружение данных уязвимостей, планировал предоставить полную информацию об исправлениях, включая точную дату выпуска, ссылки для скачивания и другие полезные сведения. Однако со временем взаимодействие с Realtek стало крайне затруднительным: компания начала отвечать всё медленнее и менее охотно, из-за чего от сбора этих сведений было решено отказаться.

Пользователям настоятельно рекомендуется проверить наличие актуальных обновлений для своих устройств. Если SD-картридер управляется через «RtsPer.sys», важно установить последнюю версию драйвера, чтобы избежать возможных атак.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь