I criminali informatici aggirano la sicurezza di Windows sfruttando una vulnerabilità del driver

Il gruppo criminale informatico Scattered Spider è stato recentemente osservato mentre cercava di distribuire un driver del kernel dannoso utilizzando una tattica chiamata Bring Your Own Vulnerable Driver (BYOVD) — un avvertimento ai professionisti della sicurezza che la tecnica, che sfrutta la mancanza di lunga data di protezioni del kernel di Windows, è ancora essendo fatto. impiegato dai criminali informatici, secondo la società di sicurezza informatica CrowdStrike.

In questo ultimo attacco BYOVD, che è stato osservato e prevenuto dal sistema di sicurezza Falcon di CrowdStrike, Scattered Spider ha tentato di implementare un driver del kernel dannoso attraverso una vulnerabilità – CVE-2015-2291 nel programma Common Vulnerability and Exposures di MITRE – nella diagnostica Intel Ethernet driver per Windows (iqvw64.sys).

Una vulnerabilità nel driver diagnostico Intel Ethernet consente agli utenti di causare un denial of service o potenzialmente eseguire codice arbitrario con privilegi del kernel in Windows, secondo il NIST National Vulnerability Database.

“I clienti di CrowdStrike dovrebbero assicurarsi di avere la possibilità di trovare e correggere la vulnerabilità del driver video Intel identificata in CVE-2015-2291. Dare priorità all’applicazione di patch ai driver vulnerabili contribuirà a mitigare questo e simili vettori di attacco che comportano l’abuso di driver firmati”, ha dichiarato CrowdStrike in un blog sull’exploit di Scattered Spider.

Cos’è Bring Your Own Vulnerable Driver (BYOVD)?

Gli attacchi BYOVD generalmente utilizzano driver firmati legittimamente, ma vulnerabili, per eseguire azioni dannose sui sistemi. In un attacco BYOVD, un utente malintenzionato può utilizzare le vulnerabilità nei driver per eseguire azioni dannose con privilegi a livello di kernel.

“Strumenti pubblicamente disponibili, come KDMapper, consentono agli avversari di sfruttare facilmente BYOVD per mappare in memoria i driver non firmati”, ha affermato CrowdStrike.

La tecnica BYOD è stata utilizzata frequentemente contro Windows negli ultimi dieci anni e i criminali informatici continuano a utilizzarla perché il sistema operativo aggiorna in modo improprio la sua blocklist dei driver vulnerabili, secondo i ricercatori.

Nel 2021, Microsoft afferma che i driver con vulnerabilità di sicurezza confermate verranno bloccati per impostazione predefinita sui dispositivi Windows 10 con Hypervisor-Protected Code Integrity (HVCI) abilitato, tramite blocklist che si aggiornano automaticamente tramite Windows Update.

I driver vulnerabili sono ancora un problema per Windows

Tuttavia, vari ricercatori e società di sicurezza informatica, tra cui Sophos, hanno notato che gli attacchi BYOD riusciti contro Windows sono continuati e gli elenchi di blocco dei driver vulnerabili utilizzati dalle funzionalità di sicurezza di Windows non sembrano essere aggiornati regolarmente.

Dopo che gli exploit BYOVD sono stati segnalati alla fine del 2022, Microsoft ha rilasciato varie dichiarazioni che indicavano che stava lavorando al problema, ad esempio, dicendo ad Ars Technica: “L’elenco dei driver vulnerabili è regolarmente aggiornato dalla madre, tuttavia, abbiamo ricevuto feedback, c’era un divario di sincronizzazione nelle versioni del sistema operativo. L’abbiamo corretto e verrà riparato nei prossimi e futuri aggiornamenti di Windows. La pagina della documentazione verrà aggiornata man mano che vengono rilasciati i nuovi aggiornamenti.”

Ma gli attacchi BYOVD continuano. CrowdStrike ha affermato che Scattered Spider ha tentato di “utilizzare lo spazio del driver privilegiato fornito dal driver Intel vulnerabile per sovrascrivere attività specifiche nel driver del sensore CrowdStrike Falcon … il sensore Falcon lo ha intercettato ed è andato immediatamente al cliente con una revisione umana”.

Negli ultimi mesi, Scattered Spider è stato osservato mentre tentava di aggirare altri strumenti per endpoint tra cui Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR e SentinelOne, secondo CrowdStrike.

La società ha affermato di aver identificato diverse versioni di un driver dannoso firmate da diversi certificati e autorità, inclusi certificati rubati originariamente rilasciati a Nvidia e Global Software LLC e un certificato di prova autofirmato.

“L’obiettivo dell’avversario è disabilitare la visibilità e le capacità di prevenzione dei prodotti di sicurezza degli endpoint in modo che l’attore possa far avanzare le proprie azioni verso gli obiettivi”, ha affermato CrowdStrike.

L’ingegneria sociale fornisce l’accesso iniziale

Nella maggior parte delle indagini condotte da CrowdStrike dal giugno 2022, l’accesso iniziale ai sistemi è stato ottenuto da Scattered Spider attraverso il social engineering, in cui l’avversario ha utilizzato telefonate, SMS e/o messaggi su Telegram per impersonare il personale IT.

In un rapporto di dicembre che descrive in dettaglio questi metodi di accesso, la società ha affermato che negli attacchi, l’avversario ha incaricato le vittime di accedere a un sito Web di raccolta delle credenziali contenente il logo della società e inserire le proprie credenziali o scaricare uno strumento di gestione del monitoraggio remoto che consentirebbe al avversario di connettersi e controllare in remoto il proprio sistema.

Se l’autenticazione a più fattori (MFA) è abilitata, l’avversario contatterà la vittima direttamente convincendola a condividere la sua password monouso o indirettamente chiedendo continuamente all’utente vittima fino a quando non accetterà la sfida push MFA, afferma CrowdStrike.

“Nell’ottenere l’accesso, l’avversario evita l’uso di malware univoci, favorendo invece un’ampia gamma di strumenti di gestione remota legittimi per mantenere l’accesso continuo”, ha affermato CrowdStrike.

The Scattered Spider, noto anche come Roasted 0ktapus e UNC3944, è stato impegnato. Nel suo rapporto di dicembre, CrowdStrike ha collegato (con scarsa fiducia) una campagna di intrusione mirata a società di telecomunicazioni e di outsourcing dei processi aziendali (BPO) a Scattered Spider.

Sebbene CrowdStrike abbia affermato questa settimana che anche l’ultima attività BYOVD sembra prendere di mira settori specifici, le organizzazioni di tutti i settori dovrebbero applicare le migliori pratiche di sicurezza per difendere ancora una volta driver vulnerabili e attacchi costituiti da altri exploit.

“Poiché l’avversario utilizza sempre più account validi come vettore di accesso iniziale, si consiglia vivamente un’analisi aggiuntiva dell’attività di accesso legittima e l’approvazione dell’autenticazione a due fattori da risorse, account o posizioni inaspettati”, ha affermato CrowdStrike.

L’azienda raccomanda inoltre alle organizzazioni di utilizzare un approccio rigoroso e approfondito di difesa che monitori endpoint, carichi di lavoro cloud, identità e reti, per difendersi da avversari avanzati e persistenti.

CrowdStrike offre anche raccomandazioni sulle migliori pratiche ai propri clienti, suggerendo configurazioni della piattaforma Falcon che possono prevenire e mettere in quarantena l’attività BYOVD descritta nel suo rapporto.

Copyright © 2023 IDG Communications, Inc.

Leave a Reply

Your email address will not be published. Required fields are marked *