[情報] 駭客利用8年前的Intel驅動程式漏洞，在Wi

hn9480412 發表於 2023/1/13 上午11:22:25

看板PC_Shopping標題[情報] 駭客利用8年前的Intel驅動程式漏洞，在Wi作者

(ilinker)時間Jan 13 11:22:25 2023推噓18 推:18 噓:0 →:23

駭客利用8年前的Intel驅動程式漏洞，在Windows電腦安裝惡意程式

文/林妍溱 | 2023-01-12發表

安全廠商Crowdstrike發現一個駭客組織利用8年前的Intel驅動程式漏洞繞過防毒軟體檢查安裝惡意程式，攻擊Windows電腦用戶。

研究人員發現名為Scattered Spider（或Roasted 0ktapus或UNC3944）的駭客組織近半年來，持續透過Intel Ethernet診斷驅動程式（iqvw64.sys）中編號CVE-2015-2291的漏洞，在用戶Windows電腦部署惡意的核心驅動程式。

研究人員解釋，這波攻擊是使用近年盛行的BYOVD（Bring Your Own Vulnerable Device）手法。這類手法是因應Windows防堵惡意程式執行的措施而生。自Windows Vista開始，微軟就封鎖未獲簽章的驅動程式執行，並在Windows 10進一步預設封鎖具已知漏洞的驅動程式。這讓駭客衍生出有漏洞或惡意驅動程式獲得合法簽章，藉以在Windows機器上執行。

Scattered Spider這波活動自去年6月起，攻擊電信及企業流程委外（BPO）等產業，目的在存取電信網路。研究人員觀察到的案例中，駭客使用竊取自知名業者如Nvidia、Global Software，以及自行簽發的測試用憑證通過Windows檢查，企圖繞過受害者機器中的安全軟體，包括微軟Defender for Endpoint、Palo Alto Networks Cortex XDR、SentinelOne等。

CVE-2015-2291漏洞存在1.3.1.0版本以前的IQVW32.sys，以及1.3.1.0版以前的IQVW64.sys，可使本地用戶0x80862013、0x8086200B、0x8086200F及0x80862007 IOCTL call發動阻斷服務攻擊，或以核心權限執行任意程式碼。英特爾在2016年5月即已修補。

安全廠商呼籲企業應確認是否安裝Intel顯示器驅動程式，並儘速更新到最新版本。

https://www.ithome.com.tw/news/155132

--
標題 [新聞] 狂！大谷翔平敲三分砲大聯盟首轟震撼美時間 Wed Apr 4 11:36:35 2018

噓 ultratimes: 他打的又不是鮑爾或是骷髏伯，人家對他期待是打這些04/04 11:37

2018/04/05 [新聞]大谷翔平連2場開轟　今天苦主是去年賽揚投手

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.138.234.149 (臺灣)

※ PTT 網址

推

abc2108699901/13 11:23還好我用AMD

推

guezt01/13 11:26AMD主機板有的會配intel網卡... XD

推

yymeow01/13 11:42一樓在反串嗎? 是intel網卡不是U

推

jacktsai124301/13 11:46原來1樓用A的網卡啊

→

dankyo01/13 11:49intel怎麼連網卡也出包...

推

leiouter01/13 11:52笑屎

推

samil106901/13 12:01難道你要買AMD?

推

ltytw01/13 12:15不然你要買A？

→

ltytw01/13 12:16AMD在10M時代有出過網路卡的吧？

→

ltytw01/13 12:16PC-net FAST III?

→

ltytw01/13 12:16我是在虛擬機裏面看到的

推

yymeow01/13 12:23現在網卡不是也只剩intel跟螃蟹? 其他Q/B/M好像都很少了

推

ltytw01/13 12:24以前10/100M時代什麼廠商都在做網卡 VIA也有的樣子

推

andey01/13 12:32樓上 D-Link 530TX 主機板還沒內建網路晶片時代的名卡，有

→

andey01/13 12:32名的爛，就是用VIA的網路晶片，同時期就是螃蟹的8139滿街

→

andey01/13 12:32跑的時代。

推

Lowpapa01/13 13:24難道你

推

Cubelia01/13 13:325GbE、10GbE有Aquantia(被Marvell收購)，後者高階主板有

→

Cubelia01/13 13:35但消費級市場還是螃蟹、I比較多

→

Cubelia01/13 13:40前面一點就QCOM Atheros Killer，被I收購就I的晶片組了

→

tactics210001/13 13:44主機板內建的無線網路 Intel是大宗

推

TWN4801/13 13:47前面在講網卡驅動程式，最後一段突然變成顯示器驅動程式是

→

TWN4801/13 13:47在寫什麼鬼。

推

canandmap01/13 13:49翻譯問題?

推

st93032401/13 14:19https://i.imgur.com/cLKAztz.jpg

→

ILike5801/13 14:48d-link是不是有張530tx早期用過amd的晶片？

→

ILike5801/13 14:51那時的530tx就是出了名的裝不起來啊，一張五六百的樣子，

→

ILike5801/13 14:51後來都叫朋友乖乖去買intel或3m的網卡......

→

Cubelia01/13 15:05也不知道為啥是寫Display，因為這確實是網卡驅動的東西

推

whitefox01/13 15:17Intel殼螃蟹心啦

→

SPDY01/13 15:30因為近年PCH甚至CPU已內建MAC 有線就只是需配顆PHY成本較低

→

SPDY01/13 15:33現在AMD只有做Alveo X3那種超低延遲交易用的有線網路卡

→

SPDY01/13 15:36是16nm的Virtex UltraScale+ FPGA 誰沒事做在或用在家用...

→

Cubelia01/13 15:54晶片組內建MAC都Intel才有，近年AMD Ryzen embedded

→

Cubelia01/13 15:54還導入10GbE MAC

推

qqq3q01/13 15:59intel的相容性就是好(包括病毒)

→

SPDY01/13 16:03因為AMD從2011年起的晶片組名稱是FCH了 PCH是專指Intel啦XD

→

ehai072501/13 18:00沒事我用螃蟹

推

changmary01/13 18:48還好我改華為

→

Clarkliu01/13 20:51intel在2016年五月就已修補<------->決不更新

→

h31101301/13 22:29又要上驅動debuff 了

其他人也閱讀了

PTT 熱門相關