Компьютеры и программы

Хакеры устанавливают на Windows уязвимые драйверы Gigabyte для отключения защиты / Хабр

image

Эксперты британской компании Sophos сообщили, что операторы шифровальщика RobbinHood устанавливают на компьютеры уязвимые драйверы Gigabyte (с уязвимостью CVE-2018-19320), которые отключают защитные решения. Этот метод работает с Windows 7, Windows 8 и Windows 10.

Сначала злоумышленники проникают в сеть компании и устанавливают легальный драйвер ядра Gigabyte GDRV.SYS. Затем, используя уязвимость в этом драйвере, они получают доступ к ядру и используют его для временного отключения принудительного использования подписи драйверов в Windows. В этот момент устанавливается вредоносный драйвер ядра RBNL.SYS. Он применяется для отключения или остановки антивирусных и прочих защитных продуктов. Тогда уже на ПК запускается вымогатель RobbinHood, который шифрует файлы.

Как это выглядит: несколько файлов, встроенных в STEEL.EXE, файлы извлекается в C:WINDOWSTEMP, а приложение STEEL.EXE удаляет файлы приложений безопасности, сначала развертывая ROBNR.EXE, который устанавливает вредоносный неподписанный драйвер RBNL.SYS, а после установки считывает файл PLIST.TXT и дает указание драйверу удалить любое приложение, указанное в PLIST.TXT и уничтожить связанные с ним процессы. Сторонний GDRV.SYS используется для того, чтобы временно отключить другие драйверы. Когда STEEL.EXE уничтожил все процессы и файлы в списке PLIST.TXT, он завершается. Теперь вымогатель может беспрепятственно зашифровать все файлы в системе.

image

Исследователи отметили, что существует много других драйверов с аналогичной уязвимостью, например, из VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302) или ASUS (CVE-2018-18537). Но сами они наблюдали только злоупотребление драйвером Gigabyte.

Между тем разработка Gigabyte утверждает, что в ее продуктах такой проблемы уязвимости не существует. Даже после публикации PoC-эксплоита для эксплуатации проблемы инженеры просто прекратили поддержку и разработку проблемного драйвера.

В свою очередь, компания Verisign, механизм подписи кода которой использовался для цифровой подписи драйвера, не отозвала свой сертификат. Подпись Authenticode по-прежнему работает, и заведомо уязвимый драйвер в Windows можно загрузить по сей день.

Эксперты порекомендовали использовать такие меры безопасности: многофакторную аутентификацию (MFA); сложные пароли, управляемые через менеджер паролей; ограничение прав доступа; регулярное создание резервных копий и их храните вне сети; блокировка RDP; использование ограничение скорости, 2FA или VPN, если это нужно; использование защиты от несанкционированного доступа.

Кстати, 6 февраля после окончания периода расширенной поддержки операционной системы Windows 7 Microsoft выпустила последнее бесплатное обновление для ОС. Достаточно объемное по размеру обновление (весит около 40-50 МБ для разных версий ОС) исправляет только одну ошибку в настройках рабочего стола, а именно — теперь применение опции для обоев под названием Stretch («Растянуть») и последующая перезагрузка системы не должна приводить к появлению черного экрана, вместо ранее установленных пользователем обоев.

Между тем пользователи ОС Windows 7 начали жаловаться на новую проблему. Они не могут штатным образом, даже под учетной записью администратора системы, выключить или перезагрузить свои ПК. Операционная система выдает ошибку: «You don’t have permission to shut down this computer» (у вас нет прав на выключение этого компьютера). Пока причина возникновения ошибки не выяснена.


Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть
Закрыть