Sérülékeny illesztőprogramok
A sérülékeny illesztőprogramok nem csak azt a rendszert veszélyeztetik, ahová telepítették őket, hanem önálló komponensként rosszindulatú programok is hordozhatják őket, majd visszaélhetnek a működésükkel (ezt nevezik BYOVD-nek – Bring Your Own Vulnerable Driver). Ezért különösen riasztó, hogy a megfigyelt sérülékeny illesztőprogramok száma hetente folyamatosan növekszik, és rendszeresen több új sérülékenységet fedeznek fel. A probléma kezelése érdekében a Check Point Research (CPR) mélyreható elemzést végzett, amely a sérülékenység fő okaira összpontosított. A CPR a kutatás eredményeit mutatja be, amelyekből kiderül, hogy az ismert sérülékeny driverek többsége bizonyos jellemzőkkel rendelkezik. Érdekes módon ezek a sérülékenységek gyakran nem összetettek és könnyen orvosolhatók. Emellett megvizsgálták, hogy a jól ismert biztonsági termékek driver-ei hogyan próbálják csökkenteni a visszaéléseket, és gyakorlati leírást adnak arról, hogyan tudták kihasználni az egyik ilyen illesztőprogram hibáit a biztonsági intézkedések megkerülésére és kerneljogosultságok megszerzésére. Egy jól ismert biztonsági termék sérülékenységének bemutatásával aláhúzza a CPR, hogy ha magában az illesztőprogramban van egy tervezési hiba, akkor csak idő és a támadók leleményességének kérdése, hogy mikor fogják megkerülni a támadók a biztonsági mechanizmusokat.
Számos oka van annak, hogy a támadók kihasználják a sérülékeny Windows-illesztőprogramokat. Az illesztőprogramok kihasználása érdekes lehetőségeket kínál számukra, hogy elérjenek bizonyos, általában a felhasználói módból nem elérhető képességeket, például:
- Rootkitek – általában a kártevő törzs minél hosszabb ideig történő elrejtése a kompromittált rendszerben, és a perzisztencia biztosítása.
- Miniszűrő-illesztőprogramok – I/O műveletek elfogása. A rosszindulatú programok többnyire „aktív” miniszűrőt használnak az eredeti I/O műveleti kérések és eredmények módosítására, de passzívan is használhatók a rendszer megfigyelésére.
- A jogosultságok növelése (EoP) – a támadók kihasználhatják a BYOVD (Bring Your Own Vulnerable Driver) technikát az EoP eléréséhez, de már rendelkezniük kell a jogosultsággal a sérülékeny illesztőprogram betöltéséhez. Emellett visszaélhetnek bizonyos már telepített/betöltött illesztőprogramok ismert/nem ismert sérülékenységével is, hogy átlépjék a biztonsági határt (felhasználói mód → kernel mód).
- Az EDR letiltása/leállítása- számos technikát és projektet vezettek be a sérülékeny illesztőprogramok legitim funkcióival való visszaélésre, hogy letiltsák/leállítsák az EDR-t vagy más PP/PPL folyamatokat (pl. folyamatleállítás, folyamat felfüggesztése, thread felfüggesztése, minden folyamatobjektum bezárása stb. révén).
- Aláírás nélküli rosszindulatú illesztőprogramok betöltése, megkerülve az illesztőprogram aláírásának érvényesítését.
