Menu dostępności

Dziurawy sterownik Intel Ethernet

Hakerzy wykorzystują stare sterowniki Intel do omijania najnowszych zabezpieczeń systemowych i EDR

Opisywany dzisiaj atak BYOVD wykorzystuje stare sterowniki Intel. Zaobserwowano, że jest przeprowadzany przez grupę Scattered Spider (z ang. rozproszony pająk). Dzięki niemu hakerzy unikają udaremnienia swoich działań przez produkty zabezpieczające EDR (Endpoint Detection and Response).

O technice BYOVD (Bring Your Own Vulnerable Driver), czyli „przynieś swój ulubiony sterownik”, pisaliśmy ostatnio w październiku zeszłego roku, omawiając sposób ataku koreańskiej grupy Lazarus wykorzystującej błędy w sterownikach DELL. Przypominamy, że przy tej technice hakerzy używają sterownika działającego w trybie jądra, o którym wiadomo, że jest podatny na exploity, w ramach swoich ataków w celu uzyskania wyższych uprawnień w systemie Windows.

Ponieważ sterowniki urządzeń mają dostęp do jądra systemu operacyjnego, wykorzystanie luk w nich umożliwia cyberprzestępcom wykonanie kodu z najwyższymi uprawnieniami w Windows. Mogą oni dzięki temu wyłączać usługi, procesy i aplikacje chroniące system.

Dziurawy sterownik Intel Ethernet

W tym ataku hakerzy wykorzystują podatność CVE-2015-2291 w sterowniku diagnostycznym Intel Ethernet (plik iqvw64.sys.). Umożliwia ona wykonanie dowolnego kodu z uprawnieniami jądra przy użyciu specjalnie spreparowanych wywołań.

Chociaż luka ta została naprawiona w 2015 r., przestępcy znaleźli sposób, by podmienić na zaatakowanych urządzeniach nowy sterownik na starą, wciąż podatną na ataki wersję. Mogą to zrobić bez względu na to, jakie aktualizacje zastosowała ofiara.

Sterownik używany przez Scattered Spider to mały 64-bitowy sterownik jądra z 35 funkcjami, podpisany różnymi certyfikatami skradzionymi od organów podpisujących takich jak NVIDIA i Global Software LLC – system Windows go dzięki temu nie blokuje.

Przestępcy wykorzystują go do wyłączania produktów zabezpieczających punkty końcowe oraz ograniczania widoczności i możliwości prewencji obrony, kładąc podwaliny pod kolejne fazy działania w atakowanych sieciach.

Po uruchomieniu sterownik odszyfrowuje zakodowany na stałe ciąg docelowych produktów zabezpieczających i instaluje poprawki sterowników docelowych w zakodowanych na stałe krokach.

Wstrzyknięta procedura złośliwego oprogramowania zapewnia, że sterowniki oprogramowania zabezpieczającego nadal wydają się działać normalnie, mimo że nie chronią już komputera.

Jak sobie radzić z tego typu atakami?

Microsoft już w 2021 roku próbował naprawić ten znany problem bezpieczeństwa w Windows, wprowadzając listę zablokowanych aplikacji. Jednak nie do końca został on rozwiązany, ponieważ system domyślnie nie blokuje tych sterowników, chyba że uruchomimy Windows 11 2022 lub nowszy.

Co gorsza, jak stwierdzili eksperci bezpieczeństwa w październiku, Microsoft aktualizował listę zablokowanych sterowników tylko w każdej większej wersji systemu Windows, pozostawiając urządzenia podatne na tego typu ataki. Od tego czasu producent wydał aktualizacje, które naprawiają ten potok obsługi, aby poprawnie zaktualizować listę zablokowanych sterowników.

Użytkownicy systemu Windows powinni włączyć listę zablokowanych sterowników w celu ochrony przed atakami typu BYOVD. Wskazówki, jak to wykonać, znajdziesz tutaj. Takie działanie ma jednak pewne wady – włączenie integralności pamięci na urządzeniach, które mogą nie mieć nowszych sterowników, może być trudne.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Środowisko bezpieczeństwa IT ponownie żyje informacjami o ujawnieniu exploita typu zero-day dla systemów Microsoft Windows. Tym razem badacz bezpieczeństwa znany pod pseudonimem Chaotic Eclipse opub...