Driverele vechi sunt exploatate pentru a ocoli validarea certificatelor TLS
Sursă: https://cybersecuritynews.com
Un atac complex care utilizează tehnica Legacy Driver Exploitation a apărut ca o amenințare semnificativă la adresa securității cibernetice.
Atacul, documentat pentru prima dată în iunie 2024, se concentrează în principal pe controlul de la distanță al sistemelor infectate cu ajutorul malware-ului GhOstRAT, evitând în același timp mecanismele de detectare.
Persoanele rău intenționate distribuie malware-ul prin intermediul site-urilor de phishing și al aplicațiilor de mesagerie, încărcând ulterior payload-urile suplimentare folosind tehnici de tip DLL side-loading.
Aceștia utilizează un driver TrueSight.sys modificat pentru a ocoli sistemul Microsoft de blocare a driverelor, ceea ce le permite să oprească forțat procesele de securitate, cum ar fi sistemele antivirus și de detectare și răspuns (EDR) ale endpoint-urilor.
Versiunile 3.4.0 și inferioare conțin o vulnerabilitate care permite oprirea arbitrară a proceselor, pe care atacatorii o valorifică prin intermediul instrumentului AVKiller.
În timp ce Microsoft a adăugat versiunile vulnerabile ale TrueSight.sys în lista sa de blocare a driverelor vulnerabile, versiunea 2.0.2.0 a primit o excepție.
Atacatorii au exploatat această problemă prin utilizarea modificării zonei certificatului pentru a crea mai multe fișiere care se prezintă drept versiunea legitimă TrueSight 2.0.2.0.
Metoda atacatorilor implică modificarea zonei de padding din cadrul structurii WIN_CERTIFICATE.
Windows nu validează această zonă de completare în timpul verificării certificatului, permițând fișierelor modificate să pară semnate legitim și să ocolească cu succes validarea prin WinVerifyTrust.
Această tehnică se referă la vulnerabilitatea CVE-2013-3900.
Microsoft și-a actualizat lista de blocare a driverelor vulnerabile la 17 decembrie 2024, pentru a aborda această amenințare.
Se recomandă aplicarea celor mai recente actualizări de securitate cât mai curând posibil.
Sursă: https://cybersecuritynews.com/threat-actors-exploiting-legacy-drivers/
