Vecchi driver Intel usati per aggirare le protezioni

Vecchi driver Intel usati per aggirare le protezioni

Sfruttando la vulnerabilità presente in un driver Intel per la diagnostica Ethernet sono stati effettuati diversi attacchi con la tecnica BYOVD.
Sfruttando la vulnerabilità presente in un driver Intel per la diagnostica Ethernet sono stati effettuati diversi attacchi con la tecnica BYOVD.

I ricercatori di CrowdStrike hanno scoperto nuovi attacchi, effettuati dal gruppo Scattered Spider, che sfruttano la vulnerabilità di vecchi driver Intel per aggirare le protezioni di Windows e la rilevazione delle soluzioni di sicurezza. Il metodo, noto come BYOVD (Bring Your Own Vulnerable Driver), viene utilizzato spesso dai cybercriminali, come dimostrano i casi più recenti.

Windows, abbiamo un problema

Gli attacchi sono stati effettuati sfruttando la vulnerabilità CVE-2015-2291, presente in varie versioni del driver di diagnostica Intel Ethernet (iqvw64.sys) per Windows, che permette di eseguire codice arbitrario con privilegi kernel. Il driver è stato firmato con certificati legittimi emessi da NVIDIA e Global Software LLC, quindi non viene bloccato da Windows. Attraverso il driver è possibile disattivare la protezione delle soluzioni di sicurezza (che sembrano funzionare normalmente).

Il gruppo Scattered Spider passa quindi alle fasi successive. Viene installato il malware o un tool di controllo remoto che permette di eseguire varie attività sul computer della vittima. Purtroppo la tecnica BYOVD ha successo perché Windows non blocca il caricamento in memoria di driver firmati vulnerabili.

La blocklist è disponibile solo in Windows 11 22H2 e viene aggiornata con ogni major release del sistema operativo. Su Windows 10 è necessario utilizzare il Windows Defender Application Control (WDAC), come spiegato in questo articolo.

La tecnica BYOVD è stata sfruttata da noti gruppi di cybercriminali, tra cui Lazarus e BlackByte. Gli utenti dovrebbero sempre utilizzare una soluzione di sicurezza che può rilevare il pericolo.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: CrowdStrike
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 12 gen 2023
Link copiato negli appunti