Описан механизм взлома Windows через старые драйверы устройств

Механизм взлома операционной системы (ОС) Windows описан на примере использования для этих целей уже неподдерживаемого драйвера с актуальным сертификатом соответствия компанией в сфере информационной безопасности Sophos, 7 февраля передает портал Tom’s Hardware.

В Sophos обнаружили интересное использование старого драйвера материнских плат Gigabyte для распространения трояна-вымогателя RobbinHood (Робин Гуд).

Несмотря на просьбы пользователей, в Gigabyte не стали исправлять найденную еще в 2018 году уязвимость, а просто прекратили поддержку. При этом компания Verisign, услугами которой пользуется Microsoft для подписи драйверов, отказалась отзывать сертификат соответствия более неподдерживаемого драйвера Gigabyte.

Этой ситуацией воспользовались хакеры для повышения привилегий вредоносной программы и удаления имеющихся антивирусных средств. Они включили в один пакет уязвимый драйвер Gigabyte и оформленную в виде драйвера троянскую программу-вымогатель.

При включенном механизме проверки подписи драйвером устройств Windows 7 и выше позволит установить только сертифицированный драйвер. При этом драйвер устанавливается с правами администратора. Поскольку эксплуатируемый в данном случае драйвер уязвимый, то идущий с ним в пакете зараженный файл использует ошибку в драйвере и также исполняется с правами администратора.

Троян RobbinHood после попадания в память с правами администратора первым делом повреждает антивирусные средства, а уже потом устанавливается.

Данной уязвимости подвержены ОС Windows 7, 8, 10.

Напомним, 6 февраля немецкой компанией, работающей в сфере кибербезопасности — ERNW была обнаружена критическая уязвимость другой ОС — Android, которой управляются большинство современных мобильных устройств. В Android 8 и 9 обнаружен способ получить полный доступ к устройству жертвы через уязвимость драйвера беспроводной связи Bluetooth.

Читайте также: Найдена уязвимость Bluetooth, позволяющая красть данные с Android-устройств