Getty bilder
I nesten to år feilet Microsoft-tjenestemenn et viktig Windows-forsvar, en uforklarlig forfall som gjorde kundene åpne for en infeksjonsteknikk med skadelig programvare som har vært spesielt effektiv de siste månedene.
Microsoft-tjenestemenn har standhaftig hevdet at Windows Update automatisk vil legge til nye programvaredrivere til en blokkeringsliste designet for å hindre et velkjent triks i spillboken for skadelig infeksjon. Skadevareteknikken – kjent som BYOVD, forkortelse for «bring your own vulnerable driver» – gjør det enkelt for en angriper med administrativ kontroll å omgå Windows-kjernebeskyttelse. I stedet for å skrive en utnyttelse fra bunnen av, installerer angriperen ganske enkelt en av dusinvis av tredjepartsdrivere med kjente sårbarheter. Deretter utnytter angriperen disse sårbarhetene for å få umiddelbar tilgang til noen av de mest befestede delene av Windows.
Det viser seg imidlertid at Windows ikke lastet ned og brukte oppdateringer til blokkeringslisten for drivere på riktig måte, noe som gjør brukere sårbare for nye BYOVD-angrep.
Etter hvert som angrepene øker, forsvinner Microsofts mottiltak
Drivere tillater vanligvis datamaskiner å jobbe med skrivere, kameraer eller andre eksterne enheter – eller å gjøre andre ting som å gi analyser om hvordan datamaskinmaskinvaren fungerer. For at mange drivere skal fungere, trenger de en direkte pipeline inn i kjernen, kjernen i et operativsystem der den mest sensitive koden ligger. Av denne grunn styrker Microsoft kjernen kraftig og krever at alle drivere signeres digitalt med et sertifikat som bekrefter at de har blitt inspisert og kommer fra en pålitelig kilde.
Selv da inneholder imidlertid legitime drivere noen ganger minnekorrupsjonssårbarheter eller andre alvorlige feil som, når de utnyttes, tillater hackere å trakte sin ondsinnede kode direkte inn i kjernen. Selv etter en utvikler retter opp sårbarheten, de gamle, buggy-sjåførene forblir utmerkede kandidater for BYOVD-angrep fordi de allerede er signert. Ved å legge til denne typen drivere i utførelsesflyten til et malware-angrep, kan hackere spare uker med utvikling og testingstid.
BYOVD har vært et faktum i minst et tiår. Skadevare kalt “Slingshot” ansatt BYOVD siden minst 2012, og andre tidlige deltakere til BYOVD-scenen inkluderte LoJax, InvisiMoleog RobbinHood.
I løpet av de siste par årene har vi sett et utslett av nye BYOVD-angrep. Et slikt angrep sent i fjor ble utført av den nordkoreanske regjeringsstøttede Lazarus-gruppen. Den brukte en utrangert Dell-driver med en alvorlig sårbarhet å målrette en ansatt i et luftfartsselskap i Nederland og en politisk journalist i Belgia.
I et eget BYOVD-angrep for noen måneder siden, cyberkriminelle installerte BlackByte løsepengeprogramvare ved å installere og deretter utnytte en buggy-driver for Micro-Stars MSI AfterBurner 4.6.2.15658, et mye brukt overklokkingsverktøy for grafikkort.
I juli, en løsepengevare-trusselgruppe installerte driveren mhyprot2.sys—en utdatert anti-juksedriver brukt av det veldig populære spillet Genshin Impact—under målrettede angrep som fortsatte med å utnytte en sårbarhet for kjøring av kode i driveren for å grave videre inn i Windows.
EN måned tidligerekriminelle som spredte AvosLocker-ransomware misbrukte også den sårbare Avast anti-rootkit-driveren aswarpot.sys for å omgå virusskanning.
Hele blogginnlegg har blitt viet til å telle opp de økende tilfellene av BYOVD-angrep, med dette innlegget fra sikkerhetsfirmaet Eclypsium og denne fra ESET blant de mest bemerkelsesverdige.
Microsoft er svært klar over BYOVD-trusselen og har jobbet med forsvar for å stoppe disse angrepene, hovedsakelig ved å lage mekanismer for å stoppe Windows fra å laste inn signerte, men sårbare drivere. Den vanligste mekanismen for sjåførblokkering bruker en kombinasjon av det som kalles minneintegritet og HVCI, en forkortelse for Hypervisor-beskyttet kodeintegritet. En egen mekanisme for å forhindre at dårlige drivere blir skrevet til disk er kjent som ASR, eller Attack Surface Reduction.
Dessverre ser ingen av tilnærmingene ut til å ha fungert så godt som tiltenkt.