Alcuni hacker cinesi sono stati individuati mentre utilizzavano due strumenti open-source per firmare e caricare driver malevoli in modalità kernel su endpoint compromessi.
Secondo i ricercatori di cybersicurezza di Cisco Talos, questo permette agli aggressori di ottenere il massimo livello di privilegi possibile. "Si tratta di una minaccia importante, in quanto l'accesso al kernel consente l'accesso completo a un sistema e quindi la sua totale compromissione", hanno dichiarato nella loro analisi.
I due strumenti open-source in questione si chiamano HookSignalTool e FuckCertVerifyTimeValidity. Questi due strumenti esistono da circa cinque anni e sono disponibili per il download su GitHub. La loro funzione principale era quella di consentire ai cheater di modificare i giochi e ottenere vantaggi sleali.
Ma in questo caso, gli hacker cinesi li hanno utilizzati su sistemi precedentemente violati per modificare la data di firma dei driver dannosi prima del 29 luglio 2015. Modificando la data, possono utilizzare driver dannosi più vecchi, caricarli nel sistema operativo e quindi ottenere capacità di amministrazione del sistema.
I ricercatori hanno poi mostrato un esempio reale. Hanno utilizzato HookSignTool per caricare un driver dannoso chiamato "RedDriver", che li ha aiutati a intercettare il traffico dei browser più diffusi al mondo: Chrome, Edge e Firefox. Sono anche riusciti a intercettare il traffico che passa attraverso i browser più diffusi in Cina.
"FuckCertVerifyTimeValidity funziona in modo simile a HookSignTool, in quanto utilizza il pacchetto Microsoft Detours per collegarsi alla chiamata API "CertVerifyTimeValidity" e imposta il timestamp su una data prescelta", hanno dichiarato i ricercatori. "A differenza di HookSignTool, FuckCertVerifyTimeValidity non lascia artefatti nel binario che firma, rendendo molto difficile identificare quando questo strumento è stato utilizzato".
Perchè è importante?
Non tutte le vulnerabilità sono uguali. Alcune sono più difficili da sfruttare, mentre altre hanno exploit funzionanti disponibili in natura. Le vulnerabilità come questa, che hanno un exploit funzionante che può essere facilmente individuato e utilizzato anche da hacker poco esperti, sono estremamente pericolose. Questa falla è ancora più pericolosa sapendo che è stata scoperta da hacker cinesi: questi, soprattutto se sponsorizzati dallo Stato, sono sempre alla ricerca di nuove strade e i loro obiettivi sono solitamente lo spionaggio informatico, il furto di dati e di identità e l'interruzione dei sistemi di infrastrutture critiche. Identificando e bloccando queste vie d'accesso, gli esperti di sicurezza informatica migliorano notevolmente la sicurezza informatica generale delle principali organizzazioni dei loro Paesi.
In questo caso particolare, i criminali informatici stanno utilizzando una tecnica nota come Bring Your Own Vulnerable Driver (BYOVD). Si tratta di una tecnica popolare con una semplice premessa: installare in un sistema un driver più vecchio con una vulnerabilità nota e poi utilizzare tale vulnerabilità per ottenere l'accesso, elevare i privilegi e infine installare malware.
Per difendersi da questa minaccia, i ricercatori di Cisco Talos consigliano di bloccare tutti i certificati qui menzionati, poiché i team IT faranno fatica a rilevare da soli i driver dannosi. Inoltre, questi vengono bloccati in modo più efficace in base agli hash dei file o ai certificati utilizzati per firmarli. I ricercatori hanno anche affermato che Microsoft ha bloccato tutti i certificati citati e che gli utenti possono fare riferimento all'advisory di Microsoft per ulteriori informazioni.
"Microsoft implementa e mantiene un elenco di blocco dei driver all'interno di Windows, sebbene sia incentrato sui driver vulnerabili piuttosto che su quelli dannosi", hanno dichiarato. "Pertanto, non ci si deve affidare esclusivamente a questo elenco di blocco per bloccare rootkit o driver dannosi".
Cosa si dice a riguardo?
Nel suo articolo, Ars Technica ha criticato Microsoft per il suo modo di affrontare il problema dei driver dannosi: "L'approccio è quello di bloccare i driver noti per essere utilizzati in modo dannoso, ma di non fare nulla per chiudere la falla", si legge. "Questo lascia agli aggressori la libertà di utilizzare un nuovo gruppo di driver per fare la stessa cosa. Come dimostrato in passato e ancora una volta, Microsoft spesso non riesce a rilevare i driver che sono stati utilizzati in modo dannoso per anni".
Tuttavia, lo stesso articolo sottolinea che una soluzione funzionante è difficile da trovare perché molti driver vulnerabili sono ancora utilizzati - legittimamente - da molti clienti paganti. "Una revoca di tali driver potrebbe causare l'improvvisa interruzione del funzionamento di software cruciali in tutto il mondo".
Il lato positivo, secondo la pubblicazione, è che per far funzionare la falla, il sistema deve essere sfruttato in anticipo, quindi la migliore difesa è non farsi compromettere in primo luogo.
BleepingComputer, invece, ha contattato Microsoft e gli è stato detto che la falla non riceverà un CVE perché l'azienda non la considera una vulnerabilità. "Sebbene i certificati scoperti da Cisco e Sophos siano stati revocati, il rischio è tutt'altro che eliminato, in quanto è probabile che altri certificati rimangano esposti o rubati, consentendo agli attori delle minacce di continuare ad abusare di questa falla nei criteri di Windows", si legge nella pubblicazione. Si ricorda che Sophos ha trovato più di un centinaio di driver kernel dannosi utilizzati come "EDR killer" per bloccare i software di sicurezza.
