Hakerzy wykorzystują stare sterowniki Intel do omijania najnowszych zabezpieczeń systemowych i EDR

O technice BYOVD (Bring Your Own Vulnerable Driver), czyli „przynieś swój ulubiony sterownik”, pisaliśmy ostatnio w październiku zeszłego roku, omawiając sposób ataku koreańskiej grupy Lazarus wykorzystującej błędy w sterownikach DELL. Przypominamy, że przy tej technice hakerzy używają sterownika działającego w trybie jądra, o którym wiadomo, że jest podatny na exploity, w ramach swoich ataków w celu uzyskania wyższych uprawnień w systemie Windows.

Ponieważ sterowniki urządzeń mają dostęp do jądra systemu operacyjnego, wykorzystanie luk w nich umożliwia cyberprzestępcom wykonanie kodu z najwyższymi uprawnieniami w Windows. Mogą oni dzięki temu wyłączać usługi, procesy i aplikacje chroniące system.

Dziurawy sterownik Intel Ethernet

W tym ataku hakerzy wykorzystują podatność CVE-2015-2291 w sterowniku diagnostycznym Intel Ethernet (plik iqvw64.sys.). Umożliwia ona wykonanie dowolnego kodu z uprawnieniami jądra przy użyciu specjalnie spreparowanych wywołań.

Chociaż luka ta została naprawiona w 2015 r., przestępcy znaleźli sposób, by podmienić na zaatakowanych urządzeniach nowy sterownik na starą, wciąż podatną na ataki wersję. Mogą to zrobić bez względu na to, jakie aktualizacje zastosowała ofiara.

Sterownik używany przez Scattered Spider to mały 64-bitowy sterownik jądra z 35 funkcjami, podpisany różnymi certyfikatami skradzionymi od organów podpisujących takich jak NVIDIA i Global Software LLC – system Windows go dzięki temu nie blokuje.

Przestępcy wykorzystują go do wyłączania produktów zabezpieczających punkty końcowe oraz ograniczania widoczności i możliwości prewencji obrony, kładąc podwaliny pod kolejne fazy działania w atakowanych sieciach.

Po uruchomieniu sterownik odszyfrowuje zakodowany na stałe ciąg docelowych produktów zabezpieczających i instaluje poprawki sterowników docelowych w zakodowanych na stałe krokach.

Wstrzyknięta procedura złośliwego oprogramowania zapewnia, że sterowniki oprogramowania zabezpieczającego nadal wydają się działać normalnie, mimo że nie chronią już komputera.

Jak sobie radzić z tego typu atakami?

Microsoft już w 2021 roku próbował naprawić ten znany problem bezpieczeństwa w Windows, wprowadzając listę zablokowanych aplikacji. Jednak nie do końca został on rozwiązany, ponieważ system domyślnie nie blokuje tych sterowników, chyba że uruchomimy Windows 11 2022 lub nowszy.

Co gorsza, jak stwierdzili eksperci bezpieczeństwa w październiku, Microsoft aktualizował listę zablokowanych sterowników tylko w każdej większej wersji systemu Windows, pozostawiając urządzenia podatne na tego typu ataki. Od tego czasu producent wydał aktualizacje, które naprawiają ten potok obsługi, aby poprawnie zaktualizować listę zablokowanych sterowników.

Użytkownicy systemu Windows powinni włączyć listę zablokowanych sterowników w celu ochrony przed atakami typu BYOVD. Wskazówki, jak to wykonać, znajdziesz tutaj. Takie działanie ma jednak pewne wady – włączenie integralności pamięci na urządzeniach, które mogą nie mieć nowszych sterowników, może być trudne.