Check Point Research (CPR) har nyligen upptäckt en ny form av cyberhot, där cyberkriminella aktörer i allt högre grad utnyttjar sårbarheter hos äldre drivrutiner för att kringgå säkerhetsåtgärder och möjliggöra spridningen av skadligt innehåll.
Dessa drivrutiner, som arbetar i kernel-läge, har den högsta nivån av behörighet – vilket gör dem till ett attraktivt mål för skadliga aktiviteter.
Microsoft införde 2015 en ny policy som kräver att nya drivrutiner behöver signeras för att förhindra att de utnyttjas. Drivrutiner innan denna ändring tilläts dock fortfarande att köras – vilket skapar ett kryphål. Cyberkriminella aktörer utnyttjade därmed detta kryphål genom användning av en äldre version av drivrutinen Truesight.sys – känd för att innehålla sårbarheter, även i senare versioner.
Genom att skapa 2500 varianter av versionen Truesight.sys 2.0.2, alla med olika hash-värden, lyckades angriparna undvika att bli upptäckta. Genom att modifiera specifika delar av drivrutinen, samtidigt som den digitala signaturen hölls giltig, kunde de säkerställa om en variant upptäcktes, skulle de övriga förbli oupptäckta. CPR har sedan dess rapporterat problemet till Microsoft, som i sin tur uppdaterade blocklistan och därmed blockerade alla varianter av den sårbara drivrutinen som utnyttjats.
– Att upptäcka missbruk av sårbara drivrutiner är avgörande för att minska risken för hot, säger Mats Ekdahl, säkerhetsexpert på Check Point Software. Samtidigt så visar denna forskning att ständig jakt efter okända sårbarheter kan leda till väsentliga fynd och även upptäcka dolda skadliga aktiviteter som varit oupptäckta i flera månader – eller till och med år.
Läs mer på Check Point Softwares blogg: https://blog.checkpoint.com/research/how-hunting-for-vulnerable-drivers-unraveled-a-widespread-attack/
