Το πρόγραμμα driver MiniFilter των Windows, όπως και το πρόγραμμα Sysmon, μπορεί να καταχραστεί για να αποτραπεί η φόρτωση προγραμμάτων driver EDR.
Δείτε επίσης: CISA: Προσθέτει ευπάθεια Windows στον Κατάλογο KEV
Οι διαδικασίες ανίχνευσης και απόκρισης τελικού σημείου (EDR) είναι δύσκολο να σταματήσουν από τους εισβολείς, ακόμη και με πρόσβαση τοπικού διαχειριστή ή σε επίπεδο συστήματος σε ένα τελικό σημείο, επειδή είναι φτιαγμένες να λειτουργούν αυτόνομα και επίμονα.
Ο Eito Tamura, Κύριος Σύμβουλος της Tier Zero Security, διαπίστωσε ότι ένα πρόγραμμα driver MiniFilter, όπως το πρόγραμμα driver Sysmon, μπορεί να γίνει κατάχρηση για να σταματήσει η φόρτωση προγραμμάτων driver EDR κατά τη δοκιμή του προγράμματος driver Sysmon.
Windows 10 τέλος, απομένει μόλις ένας χρόνος υποστήριξης
Κομήτης θα κάνει μια θεαματική προσέγγιση τον Οκτώβριο
Εκτόξευση του Europa Clipper για ανίχνευση ζωής στην Ευρώπη!
Ο Eito Tamura ισχυρίζεται ότι εμποδίζει το πρόγραμμα driver EDR να εγγραφεί στο Filter Manager εκχωρώντας το ύψος του προγράμματος οδήγησης EDR σε ένα άλλο MiniFilter των Windows που φορτώνεται πριν από το φίλτρο στόχου.
Η Microsoft έχει θέσει σε εφαρμογή ορισμένους μετριασμούς. Εξέδωσε μια προειδοποίηση και η διαδικασία regedit τερματίστηκε ενώ ο ερευνητής προσπάθησε να αλλάξει το altitude του προγράμματος driver Sysmon ώστε να ταιριάζει με το altitude του προγράμματος driver MDE (WdFilter) για να σταματήσει τη φόρτωσή του.
Δείτε ακόμα: Ευπάθεια Windows καταχράστηκε από τη Void Banshee σε επιθέσεις zero-day
Αφού εμφανίστηκε μια ειδοποίηση στην επιφάνεια εργασίας, η καταχώριση altitude καταργήθηκε. Χωρίς μη αυτόματη επαναφορά του altitude, το Sysmon ουσιαστικά απενεργοποιείται.
Δήλωσε ότι πρόσθετα προγράμματα driver MiniFilter των Windows, συμπεριλαμβανομένων των προεπιλεγμένων προγραμμάτων driver που υπάρχουν ήδη στο σύστημα, όπως το FileInfo, μπορούν να χρησιμοποιηθούν όταν επιχειρείται η ίδια επίθεση για να ελέγξει εάν ένας παρόμοιος αμυντικός μηχανισμός θα ενεργοποιηθεί. Απροσδόκητα, η αλλαγή δεν μπλοκαρίστηκε, προσδιορίζοντας ουσιαστικά το altitude του οδηγού Sysmon ως MDE (328010).
Επιπλέον, το MiniFilter υποστηρίζει το altitude που χρησιμοποιούν τώρα, το οποίο είναι XXXXX.YYYYY, το οποίο αποτελείται από μια τελεία (“.”) ακολουθούμενη από πέντε αριθμούς.
Κάθε φορά που φορτώνεται, η ενότητα YYYYY εκχωρείται δυναμικά και αλλάζει. Με αυτόν τον τρόπο, οι εισβολείς εμποδίζονται να δώσουν σε άλλα προγράμματα driver MiniFilter το ίδιο altitude.
Επιπλέον, εξήγησε πώς να αλλάξετε τις ρυθμίσεις μητρώου για το πρόγραμμα driver Sysmon, έτσι ώστε το Sysmon να φορτώνει νωρίτερα και να σταματήσει με επιτυχία τη φόρτωση του WdFilter των Windows.
Δείτε επίσης: Η Citrix προειδοποιεί για ευπάθειες στο Workspace για Windows
Τα προγράμματα driver είναι βασικοί παράγοντες για την ανάπτυξη και λειτουργία ενός λογισμικού υπολογιστή. Αυτοί οι οδηγοί βοηθούν στο να διασφαλιστεί ότι το λογισμικό λειτουργεί σωστά και αποδοτικά σε διάφορες πλατφόρμες και συσκευές. Η ανάπτυξη ενός οδηγού περιλαμβάνει τη συγγραφή κώδικα που επιτρέπει την επικοινωνία με το υλικό του συστήματος, όπως κάρτες γραφικών, συσκευές ήχου και περιφερειακά. Ως εκ τούτου, οι οδηγοί προγράμματος πρέπει να είναι καλά βελτιστοποιημένοι και δοκιμασμένοι για να ελαχιστοποιούν σφάλματα και καθυστερήσεις στην απόδοση του συστήματος.
Πηγή: cybersecuritynews