Компанія ESET опублікувала огляд про використання вразливих драйверів ядра

Уразливості в драйверах часто використовуються розробниками ігрового чит-коду для обходу механізмів захисту, а також декількох груп APT і шкідливих програм. Цей тип драйверів може використовуватися зловмисниками для доступу до ядра Windows.

Серед різних типів драйверів ядра (центральний компонент операційної системи Windows) є драйвери, які забезпечують певні функції, не пов'язані з апаратним забезпеченням, такі як конфігурація і діагностика програмного забезпечення, системний аналіз. Вони здатні розширювати можливості зловмисників під час атак .

Хоча завантаження зловмисно непідписаного драйвера неможлива в новіших версіях Windows, а руткіти ядра залишилися в минулому, все ж існують способи проникнення шкідливого коду в ядро, зокрема шляхом зловживання законними підписаними драйверами. Насправді існує безліч драйверів від різних виробників апаратного і програмного забезпечення, які пропонують можливість повного доступу до ядра з мінімальними зусиллями.

Серед найбільш поширених вразливостей в драйверах ядра можна виділити:

• Неспроможність додавати перевірки, що обмежують доступ до читання та запису критичних регістрів для конкретних моделей (MSRs)
• можливість відображення фізичної пам'яті з призначеного для користувача режиму читання і запису;
• Можливість доступу до віртуальної пам'яті ядра з призначеного для користувача режиму читання і запису.

"коли зловмисникам потрібно запустити шкідливий код в ядрі Windows на системах, які працюють під управлінням 64-розрядної версії з примусовим підписом драйвера, використання вразливого підписаного драйвера ядра здається підходящим варіантом для цього. Цей метод, відомий як приведення власного вразливого драйвера (byovd), використовується в реальному середовищі як влучними групами, так і масово шкідливим програмним забезпеченням".  Пояснює Пітер Калнай, дослідник ESET.

Серед зловмисників, що використовують цей метод, є APT group Slingshot, яка розробила в якості драйвера ядра свій основний модуль під назвою Cahnadr. Іншим прикладом є група InvisiMole APT, виявлена дослідниками ESET у 2018 році. Їх унікальний новий варіант шкідливого програмного забезпечення використовує регістри MSR в 64-розрядних версіях систем Windows 10 в реальному середовищі.

Іншим прикладом є вимагацьке програмне забезпечення RobbinHood, яке має на меті охопити більше користувачів. Застосування методу BYOVD в даному випадку зустрічається досить рідко. Це програмне забезпечення-вимагач використовує вразливий драйвер материнської плати GIGABYTE для відключення перевірки підпису драйвера та встановлення власного шкідливого драйвера.

Крім того, перший в історії руткіт UEFI також використовував драйвер RWEverything, щоб отримати доступ до модулів UEFI жертв.

«Хоча процесор або операційна система використовує кілька механізмів, більшість з них можна обійти за допомогою підступних методів», - коментує дослідник ESET.

Фахівці компанії ESET підготували рекомендації, які допоможуть запобігти подібним шкідливим прийомам.

• Безпека на основі віртуалізації. Ця функція, введена в Windows 10, використовує апаратну віртуалізацію для розміщення ядра в пісочниці, захищаючи таким чином операційну систему різними способами.
• Відкликати сертифікат. У сучасних системах Windows драйвера повинні бути дійсно підписані на підставі прийнятного сертифіката. Тому анулювання посвідчення вразливого водія було б простим способом його зняти з охорони і зробити непотрібним в більшості випадків.
• Додавання драйверів в список заблокованих. Ця практика використовується як корпорацією Майкрософт, так і різними сторонніми постачальниками безпеки, включаючи ESET, для виявлення та видалення найбільш відомих вразливих драйверів, знайдених у системі.