Nenhuma correção à vista para a brecha de um quilômetro e meio que atormentou uma importante defesa do Windows por anos

imagens falsas

Nos últimos 15 anos, a Microsoft fez um grande progresso no fortalecimento do kernel do Windows, o núcleo do sistema operacional que os hackers devem controlar para assumir o controle de um computador com sucesso. Uma pedra angular desse progresso foi a promulgação de novas restrições estritas sobre o carregamento de drivers de sistema que poderiam ser executados no modo kernel. Esses drivers são cruciais para que os computadores funcionem com impressoras e outros periféricos, mas também são um caminho conveniente que os hackers podem seguir para permitir que seus malwares obtenham acesso irrestrito às partes mais confidenciais do Windows. Com o advento do Windows Vista, todos esses drivers só podiam ser carregados depois de aprovados pela Microsoft e assinados digitalmente para verificar se eram seguros.

Na semana passada, pesquisadores de uma empresa de segurança ESET revelado Que cerca de um ano atrás, Lazarus, um grupo de hackers apoiado pelo governo norte-coreano, explorou uma brecha de um quilômetro de largura no ano passado que existia no Driver Signature Enforcement (DSE) da Microsoft o tempo todo. Os documentos maliciosos que o Lazarus conseguiu enganar os alvos para abri-los conseguiram obter o controle administrativo do computador do alvo, mas as proteções modernas do kernel do Windows apresentaram um obstáculo formidável para o Lazarus atingir seu objetivo de invadir o kernel.

caminho de menor resistência

Então Lazarus escolheu um dos movimentos mais antigos do manual de exploração do Windows: uma técnica conhecida como BYOVD, abreviação de traga seu próprio motorista vulnerável. Em vez de encontrar e cultivar algum dia zero exótico para furar as proteções do kernel do Windows, os membros do Lazarus simplesmente usaram o acesso de administrador que já tinham para instalar um driver que havia sido assinado digitalmente pela Dell antes da descoberta do ano passado de uma vulnerabilidade crítica que poderia ser explorado para ganhar privilégios de kernel.

O pesquisador da ESET, Peter Kálnai, disse que Lazarus enviou a dois alvos, um funcionário de uma empresa aeroespacial na Holanda e outro um jornalista político na Bélgica, documentos do Microsoft Word que foram adulterados com código malicioso, que infectou os computadores que o abriram. O objetivo dos hackers era instalar um backdoor avançado chamado Blindingcan, mas para que isso acontecesse, eles primeiro tiveram que desabilitar várias proteções do Windows. O caminho de menor resistência, nesse caso, foi simplesmente instalar o dbutil_2_3.sys, o driver defeituoso da Dell, responsável por atualizar o firmware da Dell por meio do utilitário BIOS personalizado da Dell.

“Pela primeira vez, os invasores conseguiram aproveitar o CVE-2021-21551 para desativar o monitoramento de todas as soluções de segurança”, escreveu Kálnai, referindo-se à designação usada para rastrear a vulnerabilidade no driver da Dell. “Não só foi feito no espaço do kernel, mas também foi feito de forma robusta, usando vários componentes internos do Windows mal documentados ou não documentados. Isso certamente exigiu profunda pesquisa, desenvolvimento e habilidades de teste.”

No caso do jornalista, o ataque foi lançado, mas foi rapidamente interrompido pelos produtos ESET, com apenas um executável malicioso envolvido.

Embora possa ser o primeiro caso documentado de invasores explorando o CVE-2021-21551 para penetrar nas proteções do kernel do Windows, não é de forma alguma a primeira instância de um ataque BYOVD. Uma pequena amostra de ataques BYOVD anteriores inclui:

  • Malware chamado SlingShot que escondido em sistemas infectados por seis anos até ser descoberto pela empresa de segurança Kaspersky. Ativo desde 2012, o SlingShot explorou vulnerabilidades encontradas já em 2007 em drivers, incluindo Speedfan.sys, sandra.sysS https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0824. Como esses drivers foram assinados digitalmente em um ponto, a Microsoft não tinha uma maneira viável de impedir que o Windows os carregasse, mesmo que as vulnerabilidades fossem bem conhecidas.
  • RobbinHood, o nome do ransomware que instala o driver da placa-mãe GIGABYTE GDRV.SYS e depois explora a vulnerabilidade conhecida CVE-2018-19320 instalar seu próprio driver malicioso.
  • lojax, o primeiro rootkit UEFI conhecido por ser usado na natureza. Para obter acesso aos módulos UEFI dos alvos, o malware instalou um utilitário poderoso chamado RWEverything que tinha uma assinatura digital válida.

You May Also Like

About the Author: Gabriela Cerqueira

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe um comentário

O seu endereço de e-mail não será publicado.