Driver Avast sfruttato per aggirare le protezioni (update)

Driver Avast sfruttato per aggirare le protezioni (update)

Ignoti cybercriminali hanno usato un vecchio driver vulnerabile di Avast per terminare i processi delle soluzioni di sicurezza e infettare il computer.
Driver Avast sfruttato per aggirare le protezioni (update)
Ignoti cybercriminali hanno usato un vecchio driver vulnerabile di Avast per terminare i processi delle soluzioni di sicurezza e infettare il computer.

I ricercatori di Trellix hanno individuato una campagna malware che sfrutta un vecchio driver vulnerabile di Avast per disattivare le protezioni delle soluzioni di sicurezza, incluse quelle dell’azienda di Praga (acquisita da NortonLifeLock nel 2021). Questo tipo di attacco è molto popolare tra i cybercriminali perché i driver sono eseguiti a livello kernel.

Driver legittimo, ma pericoloso

La tecnica nota come BYOVD (Bring Your Own Vulnerable Driver) permette di sfruttare driver vulnerabili che Windows considera affidabili, in quanto firmati da software house legittime. Negli attacchi individuati dagli esperti di Trellix è stato usato un vecchio driver anti-rootkit di Avast (aswArPot.sys).

Un malware (kill-floor.exe) copia il driver vulnerabile con il nome ntfs.bin nella directory C:\Users\Default\AppData\Local\Microsoft\Windows. Successivamente crea il servizio aswArPot.sys con Service Control (sc.exe) che registra il driver.

Sfruttando quest’ultimo, il malware ottiene l’accesso di livello kernel a Windows, quindi inizia a cercare e terminare 142 processi delle soluzioni di sicurezza presenti in un elenco hardcoded, utilizzando comandi IOCTL. L’elenco include i processi degli antivirus più popolari, tra cui quelli della stessa Avast, Symantec, Microsoft, McAfee, Sophos, Trend Micro, SentinelOne e ESET.

L’accesso a livello kernel consente di eseguire qualsiasi attività sul computer, aggirando le protezioni del sistema operativo e dei software di sicurezza. Microsoft aggiorna la blocklist dei driver per Windows 11 due volte all’anno. Gli utenti possono anche aggiornare manualmente la blocklist con la policy App Control, seguendo le istruzioni indicate nella pagina di supporto.

Aggiornamento (28/11/2024)
Avast ha comunicato che il problema è stato risolto:

La vulnerabilità citata si trovava in una vecchia versione del nostro driver Avast Anti-Rootkit aswArPot.sys, che è stata risolta in Avast 21.5 rilasciato nel giugno 2021. In questo periodo abbiamo lavorato a stretto contatto con Microsoft ed è stato rilasciato un blocco nel sistema operativo Windows (10 e 11), per cui la vecchia versione del driver Avast non può più essere caricata in memoria. Tutte le versioni consumer e business dei prodotti Avast e AVG bloccano qualsiasi versione vulnerabile del driver, quindi i nostri clienti sono protetti da questo vettore di attacco.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
27 nov 2024
Link copiato negli appunti