Eset přináší nové informace o zneužití systémových ovladačů jádra Windows

31. 1. 2022. (redaktor: František Doupal, zdroj: Ese)
Dlouhodobý výzkum Esetu potvrdil, že chybně napsané ovladače jsou pro útočníky vítaným nástrojem k napadení systému Windows. Zranitelnosti mohou mít dopad i na uživatele v Česku. Nejnovější analýza má pomoci dodavatelům softwarových řešení a IT specialistům v boji proti těmto hrozbám.

Aktuální zpráva, kterou bezpečnostní specialisté Esetu vydali jako součást dlouhodobého výzkumu zranitelnosti ovladačů jádra systému Windows, nabízí kromě kompletního pohledu na tuto problematiku a popisu nejčastějších technik útoků i nová zjištění. Zranitelnost ovladačů jádra Windows je dlouhodobě zneužívaná vývojáři malwaru i kybernetickými útočníky po celém světě a týká se uživatelů i v České republice.

V operačním systému Microsoft Windows existují různé typy ovladačů, a zatímco ovladače samotného zařízení podléhají přísnému procesu vývoje s důrazem na bezpečnost, u „softwarových“ ovladačů, např. pro diagnostická data, je situace jiná. Mnohé z nich obsahují známé zranitelnosti a jsou proto aktivně využívány tvůrci škodlivého kódu a kybernetickými útočníky.

„Ovladače v operačním systému Windows musí být digitálně podepsané certifikátem. Tím se výrazně zvyšuje zabezpečení systému, protože je nejde pozměnit ani vyměnit. Bohužel i toto zabezpečení mohou útočníci zneužít. Na základě dlouhodobého sledování známe případy ovladačů, které jsou sice podepsané, ale jejich zranitelnosti dávají útočníkům možnost k průniku do systému,“ vysvětlil vedoucí pražského výzkumného oddělení Esetu Robert Šuman.

Podle bezpečnostních expertů využívají tyto zranitelnosti i tzv. APT skupiny pro cílené útoky na společnosti. APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů, například za účelem kyberšpionáže.

Techniky útoku využívá celá řada aktérů, riziko platí i pro Česko

Aktuální zpráva poskytuje hlubší vhled do problematiky jádra systému Windows, zranitelností některých špatně implementovaných ovladačů a obranných strategií před jejich možným zneužitím. Bezpečnostním specialistům se podařilo odhalit zranitelnosti i ve třech dalších ovladačích, které byly do té doby považovány za bezpečné.

„Mezi úspěšné metody průniku do systému patří například i šíření zranitelného ovladače. Tato technika je známá pod označením BYOVD, které je zkratkou anglického termínu Bring Your Own Vulnerable Driver. Technika BYOVD byla využita například při útocích APT skupin Slingshot či InvisiMole, rodiny ransomwaru RobbinHood nebo prvního UEFI rootkitu LoJax,“ vysvětlil Šuman.

„Dopady zranitelností ovladačů jádra systému Windows se mohou ze své podstaty dotýkat velkého množství uživatelů, a to i těch v Česku. Uživatelé jednoduše mohou používat specializované programy umožňující podvádění při hraní počítačových her nebo mít nainstalovaný starý ovládač k tiskárně, který je tímto způsobem zneužitelný,“ řekl Šuman.

Obranou před zneužitím je spolupráce všech zúčastněných stran

Zranitelné ovladače jsou známým problémem a jsou zneužívány komunitou podvodníků při hraní počítačových her i autorů malwaru dlouhodobě. Naštěstí se zdá, že všechny odpovědné zúčastněné strany chtějí tento problém vyřešit.

„Výrobci softwaru, které jsme na základě našich nálezů kontaktovali, byli neuvěřitelně aktivní a ochotně námi zjištěné nedostatky opravovali. Společnost Microsoft se sama zaměřuje na posílení operačního systému Windows zevnitř a v neposlední řadě se i dodavatelé bezpečnostních řešení snaží přijít s dalšími způsoby, jak takové ovladače odhalit a zmírnit tak dopady jejich zneužití,“ shrnul Šuman.

Více informací

Kompletní analýza s podrobným technickým popisem je dostupná na stránkách našeho odborného magazínu WeLiveSecurity.com.

Štítky: 
Bezpečnost, Eset
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

ESET vydal zprávu o aktivitách státy podporovaných útočníků. Nejvíce operací bylo spojeno s Ruskem

27. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Nejnovější zpráva společnosti ESET, APT Activity Report, shrnuje zásadní aktivity útočných skupin, které byly sledovány bezpečnostními experty společnosti od října 2023 do konce března 2024. Hlavními cíli většiny útočných kampaní byly vládní organizace. Skupiny napojené na Rusko se zaměřily na špionáž v Evropské unii a pokračovaly také v útocích proti Ukrajině. Čtěte více

Útočníci zneužívali tzv. „Cat-Phishing“, falešné faktury, či legitimní mechanismus BITS

24. 5. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Čtvrtletní zpráva HP Wolf Security Threat Insights odhaluje, že útočníci aktuálně zneužívají otevřené přesměrování, falešné faktury a techniky využívající regulérní prostředky systému. Čtěte více

Průměrná česká společnost nyní čelí v průměru více než 2 000 útoků týdně

23. 5. 2024. (redaktor: František Doupal, zdroj: Check Point)
Kyberbezpečnostní společnost Check Point Software Technologies upozorňuje, že od začátku letošního roku vidíme další prudký nárůst kyberútoků. V dubnu čelily české společnosti v průměru enormním 2 000 kyberútokům týdně. Přitom průměr za první tři měsíce byl „pouze“ 1 570 kyberútoků týdně na jednu českou organizaci. Čtěte více

Přihlašování k účtům: nejčastější chybou je opakované použití stejných hesel

21. 5. 2024. (redaktor: František Doupal, zdroj: GFI Software)
Podle dotazování společnosti GFI Software mezi českými a slovenskými partnery je nejbezpečnějším způsobem přihlašování k účtům dvoufaktorové ověřování (2FA). Podle 91 % dotázaných IT profesionálů dělají uživatelé nejčastější chybu opakovaným použitím stejného hesla pro přihlašování k více účtům. Čtěte více