Эксперты британской компании Sophos сообщили, что операторы шифровальщика RobbinHood устанавливают на компьютеры уязвимые драйверы Gigabyte (с уязвимостью CVE-2018-19320), которые отключают защитные решения. Этот метод работает с Windows 7, Windows 8 и Windows 10.
Сначала злоумышленники проникают в сеть компании и устанавливают легальный драйвер ядра Gigabyte GDRV.SYS. Затем, используя уязвимость в этом драйвере, они получают доступ к ядру и используют его для временного отключения принудительного использования подписи драйверов в Windows. В этот момент устанавливается вредоносный драйвер ядра RBNL.SYS. Он применяется для отключения или остановки антивирусных и прочих защитных продуктов. Тогда уже на ПК запускается вымогатель RobbinHood, который шифрует файлы.
Как это выглядит: несколько файлов, встроенных в STEEL.EXE, извлекается в C:\WINDOWS\TEMP, а приложение STEEL.EXE удаляет файлы приложений безопасности, сначала развертывая ROBNR.EXE, который устанавливает вредоносный неподписанный драйвер RBNL.SYS, а после установки считывает файл PLIST.TXT и дает указание драйверу удалить любое приложение, указанное в PLIST.TXT и уничтожить связанные с ним процессы. Сторонний GDRV.SYS используется для того, чтобы временно отключить другие драйверы. Когда STEEL.EXE уничтожил все процессы и файлы в списке PLIST.TXT, он завершается. Теперь вымогатель может беспрепятственно зашифровать все файлы в системе.
Исследователи отметили, что существует много других драйверов с аналогичной уязвимостью, например, из VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302) или ASUS (CVE-2018-18537). Но сами они наблюдали только злоупотребление драйвером Gigabyte.
Между тем разработка Gigabyte утверждает, что в ее продуктах такой проблемы уязвимости не существует. Даже после публикации PoC-эксплоита для эксплуатации проблемы инженеры просто прекратили поддержку и разработку проблемного драйвера.
В свою очередь, компания Verisign, механизм подписи кода которой использовался для цифровой подписи драйвера, не отозвала свой сертификат. Подпись Authenticode по-прежнему работает, и заведомо уязвимый драйвер в Windows можно загрузить по сей день.
Эксперты порекомендовали использовать такие меры безопасности: многофакторную аутентификацию (MFA); сложные пароли, управляемые через менеджер паролей; ограничение прав доступа; регулярное создание резервных копий и их хранение вне сети; блокировка RDP; использование ограничение скорости, 2FA или VPN, если это нужно; использование защиты от несанкционированного доступа.
Кстати, 6 февраля после окончания периода расширенной поддержки операционной системы Windows 7 Microsoft выпустила последнее бесплатное обновление для ОС. Достаточно объемное по размеру обновление (весит около 40-50 МБ для разных версий ОС) исправляет только одну ошибку в настройках рабочего стола, а именно — теперь применение опции для обоев под названием Stretch («Растянуть») и последующая перезагрузка системы не должна приводить к появлению черного экрана, вместо ранее установленных пользователем обоев.
Между тем пользователи ОС Windows 7 начали жаловаться на новую проблему. Они не могут штатным образом, даже под учетной записью администратора системы, выключить или перезагрузить свои ПК. Операционная система выдает ошибку: «You don’t have permission to shut down this computer» (у вас нет прав на выключение этого компьютера). Пока причина возникновения ошибки не выяснена.