Подписанные драйверы ядра могут стать незащищенным шлюзом к ядру Windows

[Artifact]

Уязвимости в подписанных драйверах используются не только разработчиками читов, но также APT-группировками.

Использование читов для видеоигр может подвергнуть компьютер пользователя риску кибератак. Уязвимости в подписанных драйверах используются не только разработчиками читов для игр для обхода механизмов защиты от читов, но также APT-группировками.
Специалисты из компании ESET проанализировали типы уязвимостей, которые обычно встречаются в драйверах ядра, и обнаружили несколько уязвимых драйверов в популярном игровом программном обеспечении.
Неподписанные драйверы или драйверы с уязвимостями часто могут стать незащищенными шлюзом к ядру Windows для злоумышленников. Хотя прямая загрузка вредоносного неподписанного драйвера больше невозможна в Windows 11 и Windows 10, а руткиты считаются делом прошлого, все еще существуют способы загрузки вредоносного кода в ядро ​​Windows, особенно путем злонамеренного использования легитимных подписанных драйверов.
Существует множество драйверов от производителей аппаратного и программного обеспечения, которые предлагают функциональные возможности для полного доступа к ядру с минимальными усилиями. В ходе исследования компания ESET обнаружила уязвимости в программном обеспечении AMD µProf profile, популярном инструменте для тестирования производительности Passmark и системной утилите PC Analyser. Разработчики всех уязвимых программ выпустили исправления для устранения уязвимостей после того, как ESET связалась с ними.
Распространенный метод, используемый киберпреступниками и злоумышленниками для запуска вредоносного кода в ядре Windows, известен как Bring Your Own Vulnerable Driver (BYOVD).
«Когда вредоносным программам необходимо запустить вредоносный код в ядре Windows на системах x64 с принудительной подписью драйверов, наличие уязвимого подписанного драйвера ядра кажется приемлемым вариантом для этого. Этот метод известен как Bring Your Own Vulnerable Driver, сокращенно BYOVD, и было замечено, что он используется в реальных атаках как высококлассными APT-группировками, так и в массовом вредоносном ПО», — пояснил старший исследователь вредоносного ПО в ESET Питер Калнаи (Peter Kálnai).
Примеры злоумышленников, использующих BYOVD, включают APT-группу Slingshot, которая реализовала свой основной модуль Cahnadr в качестве драйвера режима ядра, а также APT-группу InvisiMole, обнаруженную исследователями еще в 2018 году. Программа-вымогатель RobinHood — еще один пример, использующий уязвимый драйвер материнской платы GIGABYTE для отключения проверки подписи драйверов и установки собственного вредоносного драйвера.