Bedrohungsakteure haben einen Weg gefunden, Antivirus zu deaktivieren (öffnet in neuem Tab) Lösungen und andere Endpunkte (öffnet in neuem Tab) Schutz-Tools mit einer immer beliebter werdenden Methode.
Cybersicherheitsforscher von Sophos haben kürzlich detailliert beschrieben, wie die als Bring Your Own Vulnerable Driver bekannte Methode funktioniert und welche Gefahren sie für Unternehmen auf der ganzen Welt mit sich bringt.
Nach Recherchen des Unternehmens missbraucht der Ransomware-Betreiber BlackByte eine als CVE-2019-16098 verfolgte Schwachstelle. Es befindet sich in RTCore64.sys und RTCore32.sys, Treibern, die von MSI AfterBurner 4.6.2.15658 von Micro-Star verwendet werden. Afterburner ist ein Übertaktungsdienstprogramm für GPUs, das Benutzern mehr Kontrolle über die Hardware gibt.
Blockieren der Treiber
Die Schwachstelle ermöglicht es authentifizierten Benutzern, beliebigen Speicher zu lesen und zu schreiben, was folglich zu einer Rechteerweiterung, Codeausführung und Datendiebstahl führt – und in diesem Fall half BlackByte dabei, mehr als 1.000 Treiber zu deaktivieren, die Sicherheitsprodukte ausführen müssen.
„Die Chancen stehen gut, dass sie weiterhin legitime Treiber missbrauchen, um Sicherheitsprodukte zu umgehen“, sagte Sophos in a Blogeintrag (öffnet in neuem Tab) die Bedrohung skizzieren.
Zum Schutz vor dieser neuen Angriffsmethode schlägt Sophos IT-Administratoren vor, diese speziellen MSI-Treiber zu einer aktiven Sperrliste hinzuzufügen und sicherzustellen, dass sie nicht auf ihren Endpoints ausgeführt werden. Darüber hinaus sollten sie alle auf ihren Geräten installierten Treiber genau im Auge behalten und die Endpunkte regelmäßig überprüfen, um nach unerwünschten Einschleusungen ohne übereinstimmende Hardware zu suchen.
Bring Your Own Vulnerable Driver mag eine neue Methode sein, aber ihre Popularität steigt schnell. Anfang dieser Woche wurde ein berüchtigter nordkoreanischer staatlich geförderter Bedrohungsakteur, die Lazarus Group, dabei beobachtet, wie er dieselbe Technik gegen Dell anwandte. Cybersicherheitsforscher von ESET haben kürzlich gesehen, wie sich die Gruppe mit gefälschten Stellenangeboten von Amazon an Luft- und Raumfahrtexperten und politische Journalisten in Europa gewandt hat. Sie teilten gefälschte Stellenbeschreibungs-PDFs, bei denen es sich im Wesentlichen um alte, anfällige Dell-Treiber handelte.
Was diese Technik besonders gefährlich macht, ist die Tatsache, dass diese Treiber per se nicht bösartig sind und daher nicht von Antivirus-Lösungen gekennzeichnet werden.
Über: Piepender Computer (öffnet in neuem Tab)