Используя видеодрайвер в компьютере, хакеры проникают в ядро и становятся всемогущими.
Исследователи из ИБ-компании Sophos Для просмотра ссылки Войди
Согласно анализу Sophos, злоумышленники используют уязвимость в легитимном драйвере Windows «Micro-Star MSI Afterburner RTCore64.sys» для обхода ПО безопасности. Речь идёт об уязвимости повышения привилегий и выполнения произвольного кода Для просмотра ссылки Войди
Драйверы «RTCore64.sys» и «RTCore32.sys» активно используются утилитой «Micro-Star MSI AfterBurner 4.6.2.15658», которая позволяет расширить контроль над видеокартами. Аутентифицированный злоумышленник может использовать CVE-2019-16098 для чтения и записи в произвольную память, в порты ввода-вывода и раздел MSR, что может привести к повышению привилегий и раскрытию информации. Эксперты пояснили, что подписанные драйверы также можно использовать для обхода политики подписи драйверов Microsoft для развертывания вредоносных программ.
Такой метод атаки называется BYOVD (Bring Your Own Vulnerable Driver, BYOVD). Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.
Компания Sophos обнаружила многочисленные сходства между последним вариантом программы-вымогателя BlackByte и реализацией обхода EDR, используемой инструментом с открытым исходным кодом EDRSandblast. Инструмент позволяет злоупотреблять уязвимыми подписанными драйверами, чтобы обойти системы безопасности и избежать обнаружения.
Исследователи безопасности также определили подпрограммы ядра для отключения ETW (Event Tracing for Windows) - механизм для отслеживания и регистрации событий, инициированных приложениями пользовательского режима и драйверами режима ядра
- Источник новости
- www.securitylab.ru