Windows nije pravilno preuzimao i primjenjivao ispravke na listi blokiranih drivera, ostavljajući korisnike ranjivim na nove BYOVD napade. Navodno su milioni računara meta malware napada.
Više od dvije godine, Windowsova zaštita od zlonamjernih drivera nije funkcionisala. Taj propust je izložio korisnike Windowsa riziku od napada koji su postali učestali posljednjih mjeseci. Iako je Microsoft tvrdio da će Windows Update automatski dodati nove drivere na listu blokiranih, kako piše Ars Technica, to nije funkcionisalo.
Zato su uređaji korisnika Windowsa bili ranjivi na napad koji se zove BYOVD ("bring your own vulnerable driver") koji olakšava napadaču sa administrativnom kontrolom da zaobiđe zaštite Windows kernela. Umjesto da piše eksploataciju od nule, napadač jednostavno instalira bilo koji od desetina drivera drugih proizvođača sa poznatim ranjivostima.
Ispostavilo se da Windows nije pravilno preuzimao i primjenjivao ispravke na listi blokiranih drivera, ostavljajući korisnike ranjivim na nove BYOVD napade.
Stari driveri
Driveri su su upravljački programi koje operativni sistem računara koristi za komunikaciju sa štampačem, web kamerom, grafičkom karticom i drugim vanjskim uređajima i hardverom. Pošto driveri mogu da pristupe jezgru operativnog sistema uređaja ili kernelu, gdje se nalazi najosjetljiviji kod, Microsoft zahtijeva da svi driveri budu digitalno potpisani, što dokazuje da su bezbjedni za korištenje. Ali ako postojeći, digitalno potpisani driver ima bezbjednosnu grešku, hakeri to mogu da iskoriste i dobiju direktan pristup Windowsu.
Čak i nakon što programer zakrpi ranjivost, stari driveri ostaju dobri kandidati za BYOVD napade jer su već potpisani. Dodavanjem ove vrste drivera hakeri sebi mogu uštedjeti sedmice razvoja i testiranja eksploatacije.
I hakeri to koriste. BYOVD nije nova tehnika napada, ona je poznata najmanje deceniju. Malver Slingshot koristi BYOVD bar od 2012. godine. Osim njega, drugi stari korisnici ove tehnike su LoJax, InvisiMole i RobbinHood.
Tokom proteklih nekoliko godina primijećen je nalet novih BYOVD napada. Ovu tehniku su u augustu koristili oni koji stoje iza napada BlackByte ransomwarea. Ozloglašena sjevernokorejska hakerska grupa Lazarus izvela je 2021. godine BYOVD napad koristeći ranjivi Dell driver protiv jednog zaposlenog u holandskoj aviokompaniji i jednog političkog novinara u Belgiji, što je otkriveno tek krajem prošlog mjeseca. U junu je ransomware grupa AvosLocker zloupotrebila ranjivost Avastovog anti-rootkit drivera da bi izbjegla skeniranje antivirusa.
Da bi spriječio ovakve napade Microsoft koristi mehanizme koji sprečavaju da Windows učitava potpisane, ali ranjive drivere. Jedan od njih se zove integritet koda zaštićen pomoću funkcije Hypervisor (HVCI), a drugi je poznat kao ASR.
Postoji problem
Ars Technica i Vil Dorman, viši analitičar ranjivosti u kompaniji za cyber bezbjednost Analygence, otkrili su da HVCI ne pruža adekvatnu zaštitu od zlonamjernih drivera.
Krajem septembra Dorman je na Twitteru objasnio da je uspio da uspješno preuzme zlonamjerni driver na uređaju sa omogućenim HVCI. Uspio je to iako je driver bio na Microsoftovoj listi blokiranih. Kasnije je otkrio da Microsoftova lista blokiranih drivera nije ažurirana od 2019. To znači da svi uređaji sa omogućenim HVCI nisu bili zaštićeni od loših drivera skoro tri godine.
Iako je Microsoft tvrdio da su korisnici zaštićeni od zlonamjernih drivera, kompanija je na kraju priznala da postoji problem.
"Lista ranjivih drivera se redovno ažurira. Dobili smo povratne informacije da postoji jaz u sinhronizaciji između verzija OS-a", rekao je portparol Microsofta u izjavi za Ars Technica. "Ovo smo ispravili i bit će popravljeno u narednim ažuriranjima za Windows".