Driver Windows usati per distribuire malware

Driver Windows usati per distribuire malware

Alcuni driver firmati con certificati rilasciati da Microsoft (già revocati) sono stati utilizzati per distribuire malware sui computer Windows.
Alcuni driver firmati con certificati rilasciati da Microsoft (già revocati) sono stati utilizzati per distribuire malware sui computer Windows.

I ricercatori di Mandiant, SentinelOne e Sophos hanno scoperto che alcuni driver firmati da Microsoft sono stati utilizzati per distribuire malware. L’azienda di Redmond ha prontamente sospeso gli account WHDP, revocato i certificati e aggiornato Microsoft Defender per bloccare eventuali exploit.

Attacchi BYOVD con driver Windows

I driver di Windows sono eseguiti con i privilegi più elevati, pertanto è necessario ottenere un certificato (firma digitale) che conferma l’autenticità. Gli sviluppatori devono rispettare i requisiti del Windows Hardware Quality Labs (WHQL), ovvero acquistare un certificato Extended Validation (EV) attraverso la registrazione al Windows Hardware Developer Program (WHDP). Se supera i test di compatibilità e sicurezza, il driver riceve il certificato Windows Hardware Compatibility Publisher (WHCP).

Quasi tutte le soluzioni di sicurezza non bloccano i driver firmati da Microsoft, in quanto considerati sicuri. Ciò permette ai cybercriminali di effettuare attacchi BYOVD (Bring Your Own Vulnerable Driver), sfruttando le vulnerabilità dei driver per installare malware sul computer.

I ricercatori di Mandiant, SentinelOne e Sophos ha individuato un toolkit composto da STONESTOP (loader) e POORTRY (driver) che consente di disattivare gli antivirus e distribuire i malware. In particolare, il loader STONESTOP carica in memoria il driver POORTRY firmato con un certificato Microsoft. Il toolkit è stato utilizzato per installare i ransomware Cuba e Hive, oltre che per attacchi di SIM swapping.

Microsoft ha revocato i certificati, sospeso gli account WHDP usati per ottenere la firma dei driver e aggiornato Defender. L’azienda di Redmond consiglia inoltre di installare le ultime patch di sicurezza tramite Windows Update.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 14 dic 2022
Link copiato negli appunti