Zbog propusta Microsofta, milioni računara su meta malver napada

Više od dve godine, Windowsova zaštita od zlonamernih drajvera nije funkcionisala, a taj propust je izložio korisnike Windowsa riziku od napada koji su postali učestali poslednjih meseci. Iako je Microsoft tvrdio da će Windows Update automatski dodati nove drajvere na listu blokiranih, kako piše Ars Technica, to jednostavno nije funkcionisalo.

Zato su uređaji korisnika Windowsa bili ranjivi na napad koji se zove BYOVD ("bring your own vulnerable driver") koji olakšava napadaču sa administrativnom kontrolom da zaobiđe zaštite Windows kernela. Umesto da piše eksploataciju od nule, napadač jednostavno instalira bilo koji od desetina drajvera drugih proizvođača sa poznatim ranjivostima.

Ispostavilo se da Windows nije pravilno preuzimao i primenjivao ispravke na listi blokiranih drajvera, ostavljajući korisnike ranjivim na nove BYOVD napade.

Drajveri su su upravljački programi koje operativni sistem računara koristi za komunikaciju sa štampačem, veb kamerom, grafičkom karticom i drugim spoljim uređajima i hardverom. Pošto drajveri mogu da pristupe jezgru operativnog sistema uređaja ili kernelu, gde se nalazi najosetljiviji kod, Microsoft zahteva da svi drajveri budu digitalno potpisani, što dokazuje da su bezbedni za korišćenje. Ali ako postojeći, digitalno potpisani drajver ima bezbednosnu grešku, hakeri to mogu da iskoriste i dobiju direktan pristup Windowsu. Čak i nakon što programer zakrpi ranjivost, stari drajveri ostaju dobri kandidati za BYOVD napade jer su već potpisani. Dodavanjem ove vrste drajvera hakeri sebi mogu uštedeti nedelje razvoja i testiranja eksploatacije.

I hakeri to koriste. BYOVD nije nova tehnika napada, ona je poznata najmanje deceniju. Malver Slingshot koristi BYOVD bar od 2012. godine, a osim njega, drugi stari korisnici ove tehnike su LoJax, InvisiMole i RobbinHood.

Tokom proteklih nekoliko godina primećen je nalet novih BYOVD napada. Ovu tehniku su u avgustu koristili oni koji stoje iza napada BlackByte ransomwarea, a ozloglašena severnokorejska hakerska grupa Lazarus izvela je 2021. godine BYOVD napad koristeći ranjivi Dell drajver protiv jednog zaposlenog u holandskoj avio-kompaniji i jednog političkog novinara u Belgiji, što je otkriveno tek krajem prošlog meseca. U junu je ransomware grupa AvosLocker zloupotrebila ranjivost Avastovog anti-rootkit drajvera da bi izbegla skeniranje antivirusa.

Da bi sprečio ovakve napade Microsoft koristi mehanizme koji sprečavaju da Windows učitava potpisane, ali ranjive drajvere. Jedan od njih se zove integritet koda zaštićen pomoću funkcije Hypervisor (HVCI), a drugi je poznat kao ASR (Attack Surface Reduction) ili smanjenje površine napada.

Ars Technica i Vil Dorman, viši analitičar ranjivosti u kompaniji za sajber bezbednost Analygence, otkrili su da HVCI ne pruža adekvatnu zaštitu od zlonamernih drajvera.

Krajem septembra Dorman je na Twitteru objasnio da je uspeo da uspešno preuzme zlonamerni drajver na uređaju sa omogućenim HVCI, iako je drajver bio na Microsoftovoj listi blokiranih. Kasnije je otkrio da Microsoftova lista blokiranih drajvera nije ažurirana od 2019. što znači da svi uređaji sa omogućenim HVCI nisu bili zaštićeni od loših drajvera skoro tri godine.

Iako je Microsoft tvrdio da su korisnici zaštićeni od zlonamernih drajvera, kompanija je na kraju priznala da postoji problem.

"Lista ranjivih drajvera se redovno ažurira, ali smo dobili povratne informacije da postoji jaz u sinhronizaciji između verzija OS-a", rekao je portparol Microsofta u izjavi za Ars Technica. "Ovo smo ispravili i biće popravljeno u narednim ažuriranjima za Windows".