Microsoftova neažurirana lista blokiranih drajvera godinama izlagala korisnike Windowsa napadima malvera

Vesti, 19.10.2022, 09:30 AM

Microsoftova neažurirana lista blokiranih drajvera godinama izlagala korisnike Windowsa napadima malvera

Više od dve godine, Windowsova zaštita od zlonamernih drajvera nije funkcionisala, a taj propust je izložio korisnike Windowsa riziku od napada koji su postali učestali poslednjih meseci. Iako je Microsoft tvrdio da će Windows Update automatski dodati nove drajvere na listu blokiranih, kako piše Ars Technica, to jednostavno nije funkcionisalo.

Zato su uređaji korisnika Windowsa bili ranjivi na napad koji se zove BYOVD (“bring your own vulnerable driver”) koji olakšava napadaču sa administrativnom kontrolom da zaobiđe zaštite Windows kernela. Umesto da piše eksploataciju od nule, napadač jednostavno instalira bilo koji od desetina drajvera drugih proizvođača sa poznatim ranjivostima.

Ispostavilo se da Windows nije pravilno preuzimao i primenjivao ispravke na listi blokiranih drajvera, ostavljajući korisnike ranjivim na nove BYOVD napade.

Drajveri su su upravljački programi koje operativni sistem računara koristi za komunikaciju sa štampačem, veb kamerom, grafičkom karticom i drugim spoljim uređajima i hardverom. Pošto drajveri mogu da pristupe jezgru operativnog sistema uređaja ili kernelu, gde se nalazi najosetljiviji kod, Microsoft zahteva da svi drajveri budu digitalno potpisani, što dokazuje da su bezbedni za korišćenje. Ali ako postojeći, digitalno potpisani drajver ima bezbednosnu grešku, hakeri to mogu da iskoriste i dobiju direktan pristup Windowsu. Čak i nakon što programer zakrpi ranjivost, stari drajveri ostaju dobri kandidati za BYOVD napade jer su već potpisani. Dodavanjem ove vrste drajvera hakeri sebi mogu uštedeti nedelje razvoja i testiranja eksploatacije.

I hakeri to koriste. BYOVD nije nova tehnika napada, ona je poznata najmanje deceniju. Malver Slingshot koristi BYOVD bar od 2012. godine, a osim njega, drugi stari korisnici ove tehnike su LoJax, InvisiMole i RobbinHood.

Tokom proteklih nekoliko godina primećen je nalet novih BYOVD napada. Ovu tehniku su u avgustu koristili oni koji stoje iza napada BlackByte ransomwarea, a ozloglašena severnokorejska hakerska grupa Lazarus izvela je 2021. godine BYOVD napad koristeći ranjivi Dell drajver protiv jednog zaposlenog u holandskoj avio-kompaniji i jednog političkog novinara u Belgiji, što je otkriveno tek krajem prošlog meseca. U junu je ransomware grupa AvosLocker zloupotrebila ranjivost Avastovog anti-rootkit drajvera da bi izbegla skeniranje antivirusa.

Da bi sprečio ovakve napade Microsoft koristi mehanizme koji sprečavaju da Windows učitava potpisane, ali ranjive drajvere. Jedan od njih se zove integritet koda zaštićen pomoću funkcije Hypervisor (HVCI), a drugi je poznat kao ASR (Attack Surface Reduction) ili smanjenje površine napada.

Ars Technica i Vil Dorman, viši analitičar ranjivosti u kompaniji za sajber bezbednost Analygence, otkrili su da HVCI ne pruža adekvatnu zaštitu od zlonamernih drajvera.

Krajem septembra Dorman je na Twitteru objasnio da je uspeo da uspešno preuzme zlonamerni drajver na uređaju sa omogućenim HVCI, iako je drajver bio na Microsoftovoj listi blokiranih. Kasnije je otkrio da Microsoftova lista blokiranih drajvera nije ažurirana od 2019. što znači da svi uređaji sa omogućenim HVCI nisu bili zaštićeni od loših drajvera skoro tri godine.

Iako je Microsoft tvrdio da su korisnici zaštićeni od zlonamernih drajvera, kompanija je na kraju priznala da postoji problem.

„Lista ranjivih drajvera se redovno ažurira, ali smo dobili povratne informacije da postoji jaz u sinhronizaciji između verzija OS-a“, rekao je portparol Microsofta u izjavi za Ars Technica. „Ovo smo ispravili i biće popravljeno u narednim ažuriranjima za Windows.”

Photo by Nothing Ahead from Pexels


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

LastPass objavio da je ponovo hakovan, kompanija tvrdi da su lozinke korisnika bezbedne

LastPass objavio da je ponovo hakovan, kompanija tvrdi da su lozinke korisnika bezbedne

Karim Tuba, izvršni direktor LastPassa, menadžera lozinki koji ima više od 25 miliona korisnika, objavio je da tim za bezbednost kompanije trenutno... Dalje

Agencije za zaštitu privatnosti istražuju tvrdnje o curenju telefonskih brojeva 487 miliona korisnika WhatsAppa

Agencije za zaštitu privatnosti istražuju tvrdnje o curenju telefonskih brojeva 487 miliona korisnika WhatsAppa

Tvrdnje da su stotine miliona telefonskih brojeva korisnika WhatsAppa procurile privukle su pažnju regulatora za zaštitu podataka. U oglasu na haker... Dalje

Acer laptop računari imaju grešku koju hakeri mogu iskoristiti za preuzimanje potpune kontrole nad uređajem

Acer laptop računari imaju grešku koju hakeri mogu iskoristiti za preuzimanje potpune kontrole nad uređajem

Acer je objavio ažuriranje firmwarea da bi rešio bezbednosnu ranjivost koja bi se mogla iskoristiti da bi se isključio UEFI Secure Boot na ranjivim... Dalje

Na hakerskom forumu prodaju se podaci 500 miliona korisnika WhatsAppa, među ukradenim podacima i podaci korisnika iz Srbije

Na hakerskom forumu prodaju se podaci 500 miliona korisnika WhatsAppa, među ukradenim podacima i podaci korisnika iz Srbije

Na jednom hakerskom forumu, koji se pojavio kao alternativa sada ugašenom Raidforums prodaje se 487 miliona brojeva mobilnih telefona korisnika Whats... Dalje

Ruske hakerske grupe ukrale više od 50 miliona lozinki za Steam, Roblox, Amazon i PayPal naloge

Ruske hakerske grupe ukrale više od 50 miliona lozinki za Steam, Roblox, Amazon i PayPal naloge

34 ruske hakerske grupe ukrale su najmanje 50 miliona lozinki u prvih sedam meseci 2022. uz pomoć malvera koji kradu informacije, kao što su RedLine... Dalje