Siti Web > Notizie di Marketing e comunicazione

Consulta le nostre news di tecnologia ed informatica online !

Vulnerabilità in un vecchio driver Gigabyte: blocca l’antivirus e installa un ransomware


I ricercatori di sicurezza di Sophos hanno individuato due attacchi hacker diversi accomunati da una medesima tecnica e che, quindi, suggerisce la presenza della stessa mano dietro le quinte. Si tratterebbe di un gruppo hacker che sfrutta una vulnerabilit presente in un vecchio driver di schede madri Gigabyte per scardinare le difese di antivirus e antimalware e installare il ransomware RobbinHood, normalmente impiegato in attacchi mirati verso bersagli selezionati di alto valore, cos che possa operare indisturbato.

Nella sua analisi Sophos descrive accuratamente la tecnica che si snoda in diversi passi:

-Il gruppo ottiene un accesso alla rete della vittima

-Installa il driver GDRV.SYS (legittimo, ma fallato)

-Sfrutta la vulnerabilit driver per ottenere accesso al kernel

-Usa l’accesso al kernel per disabilitare temporaneamente la richiesta di firma driver di Windows

-Installa un driver compromesso chiamato RBNL.SYS

-Usa questo driver per disabilitare o arrestare l’antivirus e altri prodotti di sicurezza presenti sul sistema bersaglio

-Esegue il ransomware RobbinHood per crittografare i file presenti sul sistema.

Questa tecnica, avverte Sophos, funziona su Windows 7, Windows 8 e Windows 10. La societ di sicurezza addossa la responsabilit di questa situazione alla stessa Gigabyte e a Verisign: la tecnica infatti ha successo proprio per il modo in cui stata gestita la vulnerabilit all’interno nel driver Gigabyte.

Il driver fa parte di un pacchetto software, ormai dismesso, che risale al 2018 e recante la vulnerabilit identificata dal codice CVE-2018-19320. Quando la vulnerabilit fu individuata e comunicata privatamente a Gigabyte, la societ taiwanese decise di non riconoscere il problema e, senza emettere una patch correttiva, afferm che i suoi prodotti non erano affetti da alcuna vulnerabilit. Il rifiuto della compagnia di riconoscere il problema ha portato i ricercatori che hanno individuato la vulnerabilit a pubblicare apertamente le loro scoperte assieme ad un esempio, il cosiddetto codice proof-of-concpet, per sfruttare il punto debole. La pubblicazione di queste informazioni ha cos offerto agli attaccanti un punto di partenza per sfruttare la vulnerabilit presente nel driver Gigabyte.

Incoscienza dei ricercatori di sicurezza? No, la prassi comune che si segue in questi casi: si contatta privatamente l’interessato per comunicare il problema e, se questi nicchia, si procede con la divulgazione delle informazioni per costringere l’interessato a lavorare ad una soluzione. Ma anche in questo caso Gigabyte ha irresponsabilmente tirato dritto: anche con la pressione di dover risolvere la situazione, Gigabyte ha deciso di abbandonare l’uso del driver senza rilasciare alcuna patch.

Ed qui che si configura il “concorso di colpa” con Verisign che avrebbe dovuto revocare il certificato del driver. “Verisign, il cui meccanismo di firma stato usato per firmare digitalmente il driver, non ha revocato il certificato e quindi la firma Authenticode rimane valida” ha sottolineato Sophos, spiegando perch possibile ancora oggi caricare in Windows driver deprecati e affetti da vulnerabilit note. Il driver, quindi, ancora in circolazione e resta una minaccia.

Non c’ da sorprendersi, comunque, se questa tecnica verr sfruttata e personalizzata anche da altri singoli o gruppi hacker per inserirla nel proprio arsenale offensivo. In ogni caso RobbinHood non l’unico ransomware che sfrutta trucchetti per disabilitare o aggirare i prodotti di sicurezza. Altri sono ad esempio Snatch, che riavvia il PC in Safe Mode per disabilitare l’antivirus fin dall’inizio, e Nemty che arresta il processo dell’antivirus usando l’utility taskkill.

Anche i sistemi aggiornati, correttamente protetti e privi di vulnerabilit note possono soccombere a questo problema. Cosa si pu fare, quindi, per prevenire? Dato che il primo passo dell’attacco riuscire ad ottenere accesso alla rete dove si trova il sistema bersaglio, imperativo adottare tutti gli accorgimenti necessari per evitare che i malintenzionati possano riuscire in questo intento. E qui valgono le “solite” best practice in ambito sicurezza: autenticazione a pi fattori, password complesse, limitazione dei diritti di accesso e via discorrendo. Per prevenire i problemi derivanti da un’infezione ransomare vale poi il consiglio di fare backup regolari e conservarli adeguatamente, meglio se in un sistema scollegato dal resto della rete.



Fonte: https://feeds.hwupgrade.it

Rate this post
Updated: 8 Febbraio 2020 — 13:49
Siti Web > Notizie di Marketing e comunicazione © 2018 Realizzazione, creazione, sviluppo, progettazione siti web-internet