A Dell illesztőprogram javítás még mindig lehetővé teszi a Windows Kernel elleni támadásokat

 

2021 májusában nyilvánosságra hoztak és javítottak öt különböző, együttesen CVE-2021-21551 számon nyomon követhető sebezhetőséget, amelyek Dell számítógépek illesztőprogramjait érintik és mintegy 12 évig voltak kihasználhatóak. 2021 decemberében kiderült, hogy nem volt elég átfogó a biztonsági frissítés, és továbbra is kihasználhatók maradtak a hibák, amelyek ún. BYOVD (Bring Your Own Vulnerable Driver) támadások során aknázhatók ki. Ez egy olyan támadási technika, amelyben a támadók egy legitim, de sebezhető illesztőprogramot telepítenek a célgépre, majd ezt használják ki a jogosultságok növelésére vagy kód futtatására a célrendszeren. Ez egy ismert technika, amelyet már évek óta széles körben alkalmaznak a kiberbűnözők.

A Microsoft szigorúbb Windows DSE (Driver Signature Enforcement) szabályokkal próbálta kiküszöbölni a problémát, a sebezhetőség azonban még mindig kihasználható. Legalább négy nyílt forráskódú exploit létezik, amely lehetővé teszi a támadók számára, hogy aláírás nélküli illesztőprogramokat töltsenek be a Windows kernelbe. A Dell “dbutil_2_3.sys” drivere, amely a CVE-2021-21551 által sebezhető, megkönnyítheti a BYOVD támadásokat, és ahogy a Rapid7 kutatói figyelmeztetnek, ez a legújabb verziókra is vonatkozik. A sebezhetőség kihasználásához rendszergazdai jogosultságokra van szükség, azonban a tapasztaltabb támadók ezt kódfuttatásra használhatják ki kernel módban, ami a Windowsban az elérhető legmagasabb jogosultsági szint. Ezzel a hozzáférési szinttel UEFI rootkiteket telepíthetnek, és szinte bármilyen parancsot végrehajthatnak a Windowsban. A további végrehajtott támadások rendkívül ellenállók a felderítéssel szemben, és lehetővé teszik számukra, hogy hónapokig, vagy akár évekig is rejtve maradjanak az eszközökön. A Rapid7 szerint a bűnözők még mindig csak a dbutil_2_3.sys kihasználására korlátozódnak, így a 2.5-ös és 2.7-es verziókkal még nem élnek vissza, azonban ez már csak idő kérdése, ezért további észlelési és kárenyhítési erőfeszítésekre van szükség.

A Dell alapos mérlegelés után ezt a problémát gyengeségnek és nem sebezhetőségnek minősítette a támadás végrehajtásához szükséges jogosultsági szint miatt, és nem terveznek biztonsági tanácsadást vagy CVE-t kiadni a hibával kapcsolatosan. A Rapid7 azt tanácsolja a rendszergazdák számára, hogy a következő biztonsági intézkedéseket hajtsák végre, hogy megakadályozzák a rosszindulatú illesztőprogramok betöltését a rendszerekbe:

  • Használja a Microsoft illesztőprogram blokkolási szabályait (jelenleg nem tartalmazza a Dell illesztőprogramokat).
  • A 2.3, 2.5 és 2.7 három hashét használja egy harmadik féltől származó EDR megoldáson.
  • Engedélyezze a Hypervisor védett kódintegritást (HVCI).

(bleepingcomputer.com)