Τον Μάιο του 2021, ένα σύνολο πέντε ευπαθειών σε προγράμματα driver υπολογιστών Dell που αναφέρονται συλλογικά ως CVE-2021-21551, αποκαλύφθηκε και επιδιορθώθηκε αφού παρέμεινε εκμεταλλεύσιμο για 12 χρόνια.
Δείτε επίσης: Ο Steve Jobs ήθελε η Dell να προεγκαταστήσει το Mac OS σε PCs και να πληρώσει πολλά εκατομμύρια
Ωστόσο, η επιδιόρθωση της Dell δεν ήταν αρκετά ολοκληρωμένη για να αποτρέψει πρόσθετη εκμετάλλευση και όπως προειδοποιούν τώρα οι ερευνητές ασφαλείας, μπορεί ακόμα να αποτελούν εύκολο στόχο για μελλοντικές επιθέσεις Bring Your Own Vulnerable Driver (BYOVD).
«Διαπιστώσαμε ότι η ενημέρωση της Dell δεν διόρθωσε την προϋπόθεση write-what-where, αλλά περιόρισε απλά την πρόσβαση στους διαχειριστές. Σύμφωνα με τον ορισμό των ορίων ασφαλείας της Microsoft, η επιδιόρθωση της Dell αφαίρεσε το ζήτημα ασφαλείας», εξηγεί ο ερευνητής του Rapid7, Jake Baines.
Το BYOVD είναι συντομογραφία του “Bring Your Own Vulnerable Driver“, μια τεχνική επίθεσης στην οποία οι κακόβουλοι παράγοντες εγκαθιστούν ένα νόμιμο αλλά ευάλωτο πρόγραμμα driver σε ένα μηχάνημα στόχο.
Αυτό το ευάλωτο πρόγραμμα driver στη συνέχεια αξιοποιείται για την αύξηση των προνομίων ή την εκτέλεση κώδικα στο σύστημα προορισμού.
Είναι μια γνωστή τεχνική που έχει αναπτυχθεί ευρέως εδώ και πολλά χρόνια. Δυστυχώς, παρόλο που η Microsoft προσπάθησε να μετριάσει το πρόβλημα με αυστηρότερους κανόνες των Windows DSE (Driver Signature Enforcement), το πρόβλημα παραμένει.
Υπάρχουν τουλάχιστον τέσσερις εκμεταλλεύσεις ανοιχτού κώδικα που επιτρέπουν στους εισβολείς να φορτώνουν μη υπογεγραμμένα προγράμματα οδήγησης στον πυρήνα των Windows και ένα από αυτά, το KDU, υποστηρίζει περισσότερες από 14 επιλογές προγραμμάτων οδήγησης.
Δείτε ακόμα: Dell SupportAssist: Bugs εκθέτουν 30 εκατομμύρια PCs σε επιθέσεις
Με βάση αυτό και μόνο και χωρίς καν να ληφθούν υπόψη προσαρμοσμένα εργαλεία που έχουν δημιουργηθεί από εξελιγμένους hackers και χρησιμοποιούνται ιδιωτικά και αποκλειστικά, γίνεται σαφές ότι το BYOVD αποτελεί μόνιμη απειλή.
Το πρόγραμμα driver ‘dbutil_2_3.sys‘ της Dell, το οποίο είναι ευάλωτο στο CVE-2021-21551, μπορεί να διευκολύνει τις επιθέσεις BYOVD και όπως προειδοποιούν οι ερευνητές του Rapid7, αυτό ισχύει και για τις πρόσφατες εκδόσεις.
Για να εκμεταλλευτούν την ευπάθεια ωστόσο, οι κακόβουλοι παράγοντες χρειάζονται δικαιώματα διαχειριστή, κάτι που μειώνει τις πιθανότητες εκμετάλλευσης.
Παρόλα αυτά, οι προηγμένοι hackers μπορούν να χρησιμοποιήσουν αυτήν την ευπάθεια για να εκτελέσουν κώδικα σε λειτουργία πυρήνα ή να χτυπήσουν το 0, που είναι το υψηλότερο δυνατό επίπεδο προνομίων στα Windows.
Σύμφωνα με την Rapid7, οι κακόβουλοι φορείς εξακολουθούν να περιορίζονται στην εκμετάλλευση του dbutil_2_3.sys, επομένως οι εκδόσεις 2.5 και 2.7 δεν έχουν ακόμη καταχραστεί.
Δείτε επίσης: AMD: Διορθώνει δεκάδες σφάλματα ασφαλείας στο Windows 10 graphics driver
Ωστόσο, οι ερευνητές πιστεύουν ότι αυτό είναι μόνο θέμα χρόνου, επομένως απαιτούνται πρόσθετες προσπάθειες ανίχνευσης και μετριασμού.
Η Rapid7 συμβουλεύει τους διαχειριστές να εφαρμόσουν τα ακόλουθα μέτρα ασφαλείας για να εμποδίσουν τη φόρτωση κακόβουλων προγραμμάτων driver στο σύστημά τους:
- Χρησιμοποιήστε τους κανόνες αποκλεισμού προγραμμάτων driver της Microsoft (δεν περιλαμβάνουν προς το παρόν τα προγράμματα driver της Dell)
- Χρησιμοποιήστε τους τρεις κατακερματισμούς για τα 2.3, 2.5 και 2.7 σε μια λύση EDR τρίτου κατασκευαστή
- Ενεργοποιήστε το Hypervisor-Protected Code Integrity (HVCI)
- Τέλος, εξετάστε το ενδεχόμενο υποβολής των ευάλωτων προγραμμάτων driver στη Microsoft για να ασκήσετε πίεση για τη συμπερίληψή τους στη λίστα αποκλεισμού.
