Los actores de amenazas han encontrado una manera de deshabilitar el antivirus (se abre en una pestaña nueva) soluciones y otros puntos finales (se abre en una pestaña nueva) herramientas de protección utilizando un método cada vez más popular.
Los investigadores de seguridad cibernética de Sophos detallaron recientemente cómo funciona el método, conocido como Bring Your Own Vulnerable Driver, y los peligros que conlleva para las empresas de todo el mundo.
Según la investigación de la compañía, los operadores de ransomware BlackByte están abusando de una vulnerabilidad rastreada como CVE-2019-16098. Se encuentra en RTCore64.sys y RTCore32.sys, controladores utilizados por MSI AfterBurner 4.6.2.15658 de Micro-Star. Afterburner es una utilidad de overclocking para GPU que brinda a los usuarios más control sobre el hardware.
Bloqueo de los controladores
La vulnerabilidad permite a los usuarios autenticados leer y escribir en una memoria arbitraria, lo que en consecuencia conduce a la escalada de privilegios, la ejecución de código y el robo de datos y, en este caso, ayudó a BlackByte a desactivar más de 1000 controladores que los productos de seguridad necesitan para ejecutarse.
“Es muy probable que continúen abusando de los controladores legítimos para eludir los productos de seguridad”, dijo Sophos en una publicación de blog. (se abre en una pestaña nueva) delineando la amenaza.
Para protegerse contra este nuevo método de ataque, Sophos sugiere que los administradores de TI agreguen estos controladores MSI en particular a una lista de bloqueo activa y se aseguren de que no se estén ejecutando en sus terminales. Además, deben vigilar de cerca todos los controladores que se instalan en sus dispositivos y auditar los puntos finales regularmente para buscar inyecciones no autorizadas que no coincidan con el hardware.
Bring Your Own Vulnerable Driver puede ser un método nuevo, pero su popularidad está aumentando rápidamente. A principios de esta semana, se observó a un notorio actor de amenazas patrocinado por el estado de Corea del Norte, Lazarus Group, usando la misma técnica contra Dell. Los investigadores de seguridad cibernética de ESET han visto recientemente al grupo acercarse a expertos aeroespaciales y periodistas políticos en Europa con ofertas de trabajo falsas de Amazon. Compartirían archivos PDF de descripción de trabajo falsos, que son esencialmente controladores Dell antiguos y vulnerables.
Lo que hace que esta técnica sea particularmente peligrosa es el hecho de que estos controladores no son maliciosos per se y, como tales, las soluciones antivirus no los marcan.
Vía: BleepingComputer (se abre en una pestaña nueva)