Jeśli dbacie o bezpieczeństwo, prawdopodobnie instalujecie aktualizacje systemu Windows wkrótce po ich wydaniu. Jednak hakerzy nieustannie szukają luk w zabezpieczeniach systemu operacyjnego Microsoftu oraz opracowują nowe sposoby obejścia wszelkich obowiązujących ograniczeń.
Oficjalnie podpisane sterowniki wykorzystywane przez hakerów
W opublikowanym w tym tygodniu ostrzeżeniu dotyczącym bezpieczeństwa gigant z Redmond opisuje poważny problem, w którym aż 133 sterowniki oficjalnie podpisane przez jego inżynierów zostały ostatnio wykorzystane przez złośliwe podmioty do dystrybucji malware, co wydaje się powracającym problemem. Omawiana kampania była skierowana przede wszystkim do chińskojęzycznych użytkowników systemu Windows, ale biorąc pod uwagę zastosowaną metodę, można sądzić, że została ona wykorzystana do kierowania złośliwych reklam do użytkowników na całym świecie.
Groźna luka
Jak wyjaśnił zespół ds. bezpieczeństwa Talos firmy Cisco, hakerzy znaleźli lukę w zasadach systemu Windows, która umożliwiła im załadowanie sterowników podpisanych przed 29 lipca 2015 r. Korzystając z narzędzi typu open source, takich jak HookSignTool i FuckCertVerifyTimeValidity, byli w stanie skompilować nowe sterowniki i podpisać je przy użyciu certyfikatów podpisywania kodu ze starych sterowników. W rezultacie pozwoliło to zainstalować i załadować złośliwe sterowniki w prawie każdym systemie.
Zasady, które to umożliwiają, mają na celu zapewnienie zgodności ze starszym oprogramowaniem poprzez umożliwienie im ładowania starszych sterowników w systemach Windows 10 i Windows 11 bez konieczności sprawdzania ich przez Microsoft pod kątem wpływu na bezpieczeństwo. Jeśli chodzi o narzędzia open source związane z exploitem, są one bardzo popularne wśród twórców cheatów do gier, którzy chcą, aby ich oprogramowanie działało w przestrzeni kernela lub cyfrowych piratów, którzy chcą ominąć zabezpieczenia DRM w popularnych aplikacjach i grach.
Microsoft reaguje
Dobrą wiadomością jest to, że Microsoft zablokował sterowniki stanowiące zagrożenie, a także konta programistów, którzy je napisali. Jeśli korzystacie z programu Microsoft Defender (wcześniej znanego jako Windows Defender) i macie go zaktualizowanego, proste skanowanie w trybie offline wykryje, czy w systemie znajdują się złośliwe sterowniki. Najnowsze aktualizacje zawierają również listę odwołań, która uniemożliwi systemowi Windows załadowanie tych sterowników.
Jednak takie podejście polegające na blokowaniu złośliwych sterowników po zgłoszeniu ich przez badaczy bezpieczeństwa nie jest optymalne, ponieważ hakerom zazwyczaj uchodzi to na sucho przez lata, zanim ich kod zostanie zablokowany, a Microsoft nie robi nic, aby zlikwidować lukę, która pozwala na wykorzystanie tych exploitów. Trzeba przyznać, że jednym z największych atutów systemu Windows jest wsteczna kompatybilność ze starszym oprogramowaniem, więc gigant z Redmond może mieć problem ze znalezieniem lepszego rozwiązania.
Pokaż / Dodaj komentarze do: Hakerzy wykorzystują lukę w Windowsie do infekowania złośliwymi sterownikami