Хакеры устанавливают на Windows уязвимые драйверы Gigabyte для отключения защиты

    image

    Эксперты британской компании Sophos сообщили, что операторы шифровальщика RobbinHood устанавливают на компьютеры уязвимые драйверы Gigabyte (с уязвимостью CVE-2018-19320), которые отключают защитные решения. Этот метод работает с Windows 7, Windows 8 и Windows 10.

    Сначала злоумышленники проникают в сеть компании и устанавливают легальный драйвер ядра Gigabyte GDRV.SYS. Затем, используя уязвимость в этом драйвере, они получают доступ к ядру и используют его для временного отключения принудительного использования подписи драйверов в Windows. В этот момент устанавливается вредоносный драйвер ядра RBNL.SYS. Он применяется для отключения или остановки антивирусных и прочих защитных продуктов. Тогда уже на ПК запускается вымогатель RobbinHood, который шифрует файлы.

    Как это выглядит: несколько файлов, встроенных в STEEL.EXE, извлекается в C:\WINDOWS\TEMP, а приложение STEEL.EXE удаляет файлы приложений безопасности, сначала развертывая ROBNR.EXE, который устанавливает вредоносный неподписанный драйвер RBNL.SYS, а после установки считывает файл PLIST.TXT и дает указание драйверу удалить любое приложение, указанное в PLIST.TXT и уничтожить связанные с ним процессы. Сторонний GDRV.SYS используется для того, чтобы временно отключить другие драйверы. Когда STEEL.EXE уничтожил все процессы и файлы в списке PLIST.TXT, он завершается. Теперь вымогатель может беспрепятственно зашифровать все файлы в системе.

    image

    Исследователи отметили, что существует много других драйверов с аналогичной уязвимостью, например, из VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302) или ASUS (CVE-2018-18537). Но сами они наблюдали только злоупотребление драйвером Gigabyte.

    Между тем разработка Gigabyte утверждает, что в ее продуктах такой проблемы уязвимости не существует. Даже после публикации PoC-эксплоита для эксплуатации проблемы инженеры просто прекратили поддержку и разработку проблемного драйвера.

    В свою очередь, компания Verisign, механизм подписи кода которой использовался для цифровой подписи драйвера, не отозвала свой сертификат. Подпись Authenticode по-прежнему работает, и заведомо уязвимый драйвер в Windows можно загрузить по сей день.

    Эксперты порекомендовали использовать такие меры безопасности: многофакторную аутентификацию (MFA); сложные пароли, управляемые через менеджер паролей; ограничение прав доступа; регулярное создание резервных копий и их хранение вне сети; блокировка RDP; использование ограничение скорости, 2FA или VPN, если это нужно; использование защиты от несанкционированного доступа.

    Кстати, 6 февраля после окончания периода расширенной поддержки операционной системы Windows 7 Microsoft выпустила последнее бесплатное обновление для ОС. Достаточно объемное по размеру обновление (весит около 40-50 МБ для разных версий ОС) исправляет только одну ошибку в настройках рабочего стола, а именно — теперь применение опции для обоев под названием Stretch («Растянуть») и последующая перезагрузка системы не должна приводить к появлению черного экрана, вместо ранее установленных пользователем обоев.

    Между тем пользователи ОС Windows 7 начали жаловаться на новую проблему. Они не могут штатным образом, даже под учетной записью администратора системы, выключить или перезагрузить свои ПК. Операционная система выдает ошибку: «You don’t have permission to shut down this computer» (у вас нет прав на выключение этого компьютера). Пока причина возникновения ошибки не выяснена.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 8

      +1

      а я думал, что смешнее чем вирусы, устанавливающие Office, чтобы воспользоваться его уязвимостями, не будет.

        0
        Вирусы, устанавливающие нужную версию антивируса? Один как минимум помнится был такой
        0

        Microsoft говорит, что в Windows 10 pro атака блокируется "из коробки"


          +2
          HVCI ещё должен быть включён, чего не происходит по умолчанию, если процессор старее Kaby Lake. Вдобавок, его включение приводит к автоматическому запуску Hyper-V со всеми вытекающими посдедствиями для сторонних гипервизоров.
          +1

          «Сначала злоумышленники проникают в сеть компании и устанавливают легальный драйвер ядра Gigabyte GDRV.SYS.» — зачем все эти пляски с драйверами, если злоумышленники уже получили доступ к сети и доступ к конкретной машине, позволяющий установить драйвера? Неужели этого доступе не достаточно для отключения всех этих защитный механизмов и запуска шифровальщика?

            +2

            Полагаю причина в том, что нужно отключить проверку загрузки драйверов. Без перезагрузки такие подпрыгивания не сделать, что как минимум палевно и долго, да ещё и надпись появится "тестовый режим".


            Получается что нужно как-то попасть к ядру ОС и там намутить всякого без перезагрузки. Единственный известный мне способ достучаться до ядра — это запустить код в режиме ядра, а это значит нужно загрузить свой драйвер. Но как его загрузить, если он не подписан? Правильно — грузим уязвимый подписанный драйвер.


            Вообще вроде есть способы выдать возможность пользователю устанавливать драйвера, но не выдать ему прав отключить тот же антивирус. Я не админ, так что тут вопрос к более компетентным людям.

              0

              напоминает давнишний прикол с антивирусом Касперского, который очень обижался, когда хитрый пользователь отматывал время назад, чтобы не продлевать платную лицензию. И принудительно отключал антивирусный мониторинг. Чем стали пользоваться вирусы, первым делом переводя время назад, и только после отключения антивируса начинали заниматься своими делами. Пофиксили естественно, когда узнали про такое, (стали отключать только обновление баз), но сам факт.

            +3
            Опомнились)))
            на тематических форумах уже несколько лет ходят списки драйверов с уязвимостями через которые можно пролезьть в Ring0

            А отзывать эти сертификаты нельзя — завалится куча устройств где подписаные этим сертом драйвера используются вполне легально.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое