Microsoftova neažurirana lista blokiranih drajvera godinama izlagala korisnike Windowsa napadima malvera
Vesti, 19.10.2022, 09:30 AM
.jpg)
Više od dve godine, Windowsova zaštita od zlonamernih drajvera nije funkcionisala, a taj propust je izložio korisnike Windowsa riziku od napada koji su postali učestali poslednjih meseci. Iako je Microsoft tvrdio da će Windows Update automatski dodati nove drajvere na listu blokiranih, kako piše Ars Technica, to jednostavno nije funkcionisalo.
Zato su uređaji korisnika Windowsa bili ranjivi na napad koji se zove BYOVD (“bring your own vulnerable driver”) koji olakšava napadaču sa administrativnom kontrolom da zaobiđe zaštite Windows kernela. Umesto da piše eksploataciju od nule, napadač jednostavno instalira bilo koji od desetina drajvera drugih proizvođača sa poznatim ranjivostima.
Ispostavilo se da Windows nije pravilno preuzimao i primenjivao ispravke na listi blokiranih drajvera, ostavljajući korisnike ranjivim na nove BYOVD napade.
Drajveri su su upravljački programi koje operativni sistem računara koristi za komunikaciju sa štampačem, veb kamerom, grafičkom karticom i drugim spoljim uređajima i hardverom. Pošto drajveri mogu da pristupe jezgru operativnog sistema uređaja ili kernelu, gde se nalazi najosetljiviji kod, Microsoft zahteva da svi drajveri budu digitalno potpisani, što dokazuje da su bezbedni za korišćenje. Ali ako postojeći, digitalno potpisani drajver ima bezbednosnu grešku, hakeri to mogu da iskoriste i dobiju direktan pristup Windowsu. Čak i nakon što programer zakrpi ranjivost, stari drajveri ostaju dobri kandidati za BYOVD napade jer su već potpisani. Dodavanjem ove vrste drajvera hakeri sebi mogu uštedeti nedelje razvoja i testiranja eksploatacije.
I hakeri to koriste. BYOVD nije nova tehnika napada, ona je poznata najmanje deceniju. Malver Slingshot koristi BYOVD bar od 2012. godine, a osim njega, drugi stari korisnici ove tehnike su LoJax, InvisiMole i RobbinHood.
Tokom proteklih nekoliko godina primećen je nalet novih BYOVD napada. Ovu tehniku su u avgustu koristili oni koji stoje iza napada BlackByte ransomwarea, a ozloglašena severnokorejska hakerska grupa Lazarus izvela je 2021. godine BYOVD napad koristeći ranjivi Dell drajver protiv jednog zaposlenog u holandskoj avio-kompaniji i jednog političkog novinara u Belgiji, što je otkriveno tek krajem prošlog meseca. U junu je ransomware grupa AvosLocker zloupotrebila ranjivost Avastovog anti-rootkit drajvera da bi izbegla skeniranje antivirusa.
Da bi sprečio ovakve napade Microsoft koristi mehanizme koji sprečavaju da Windows učitava potpisane, ali ranjive drajvere. Jedan od njih se zove integritet koda zaštićen pomoću funkcije Hypervisor (HVCI), a drugi je poznat kao ASR (Attack Surface Reduction) ili smanjenje površine napada.
Ars Technica i Vil Dorman, viši analitičar ranjivosti u kompaniji za sajber bezbednost Analygence, otkrili su da HVCI ne pruža adekvatnu zaštitu od zlonamernih drajvera.
Krajem septembra Dorman je na Twitteru objasnio da je uspeo da uspešno preuzme zlonamerni drajver na uređaju sa omogućenim HVCI, iako je drajver bio na Microsoftovoj listi blokiranih. Kasnije je otkrio da Microsoftova lista blokiranih drajvera nije ažurirana od 2019. što znači da svi uređaji sa omogućenim HVCI nisu bili zaštićeni od loših drajvera skoro tri godine.
Iako je Microsoft tvrdio da su korisnici zaštićeni od zlonamernih drajvera, kompanija je na kraju priznala da postoji problem.
„Lista ranjivih drajvera se redovno ažurira, ali smo dobili povratne informacije da postoji jaz u sinhronizaciji između verzija OS-a“, rekao je portparol Microsofta u izjavi za Ars Technica. „Ovo smo ispravili i biće popravljeno u narednim ažuriranjima za Windows.”
Photo by Nothing Ahead from Pexels

Izdvojeno
Kako veštačka inteligencija pomaže u borbi protiv prevara na internetu
.jpg)
Više od decenije, Google koristi veštačku inteligenciju za zaštitu korisnika od prevara na internetu koji žele da dobiju pristup njihovom novcu i... Dalje
Da li su vaše lozinke među najslabijim lozinkama?

Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje
Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje
Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke
.jpg)
Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje
Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi
.jpg)
Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje
Pratite nas
Nagrade