Per quasi due anni, i funzionari di Microsoft hanno sbagliato una difesa chiave di Windows, un errore inspiegabile che ha lasciato i clienti aperti a una tecnica di infezione da malware che è stata particolarmente efficace negli ultimi mesi. I funzionari di Microsoft hanno affermato con fermezza che Windows Update aggiunge automaticamente i nuovi driver software a una lista di blocco progettata per contrastare un trucco ben noto nel manuale delle infezioni da malware. La tecnica di malware, nota come BYOVD, abbreviazione di “bring your own vulnerable driver”, consente a un aggressore con controllo amministrativo di aggirare facilmente le protezioni del kernel di Windows. Invece di scrivere un exploit da zero, l’aggressore installa semplicemente una delle decine di driver di terze parti con vulnerabilità note. Quindi l’aggressore sfrutta tali vulnerabilità per ottenere l’accesso immediato ad alcune delle aree più protette di Windows.
Si è scoperto, tuttavia, che Windows non scaricava e applicava correttamente gli aggiornamenti all’elenco di blocco dei driver, rendendo gli utenti vulnerabili ai nuovi attacchi BYOVD. I driver in genere consentono ai computer di lavorare con stampanti, fotocamere o altre periferiche o di svolgere altre funzioni, come fornire analisi sul funzionamento dell’hardware del computer. Per funzionare, molti driver hanno bisogno di un collegamento diretto con il kernel, il cuore del sistema operativo dove risiede il codice più sensibile. Per questo motivo, Microsoft protegge pesantemente il kernel e richiede che tutti i driver siano firmati digitalmente con un certificato che ne verifichi l’ispezione e la provenienza da una fonte affidabile. Il BYOVD è un dato di fatto da almeno un decennio. Il malware soprannominato “Slingshot” utilizza BYOVD almeno dal 2012, e tra i primi a entrare nella scena BYOVD ci sono LoJax, InvisiMole e RobbinHood. Negli ultimi due anni abbiamo assistito a un’ondata di nuovi attacchi BYOVD. Uno di questi attacchi, alla fine dello scorso anno, è stato condotto dal gruppo Lazarus, sostenuto dal governo nordcoreano. Ha utilizzato un driver Dell dismesso con una vulnerabilità ad alta gravità per colpire un dipendente di un’azienda aerospaziale nei Paesi Bassi e un giornalista politico in Belgio. In un attacco BYOVD separato di qualche mese fa, i criminali informatici hanno installato il ransomware BlackByte installando e poi sfruttando un driver difettoso per MSI AfterBurner 4.6.2.15658 di Micro-Star, un’utility di overclocking per schede grafiche molto utilizzata. A luglio, un gruppo di minacce ransomware ha installato il driver mhyprot2.sys – un driver anti-cheat deprecato utilizzato dal popolarissimo gioco Genshin Impact – nel corso di attacchi mirati che hanno sfruttato una vulnerabilità di esecuzione del codice nel driver per penetrare ulteriormente in Windows. Un mese prima, i criminali che hanno diffuso il ransomware AvosLocker hanno sfruttato il driver anti-rootkit vulnerabile di Avast aswarpot.sys per aggirare la scansione antivirus.
Interi post sui blog sono stati dedicati a enumerare i crescenti casi di attacchi BYOVD, con questo post dell’azienda di sicurezza Eclypsium e questo di ESET tra i più notevoli. Microsoft è perfettamente consapevole della minaccia BYOVD e ha lavorato sulle difese per bloccare questi attacchi, principalmente creando meccanismi per impedire a Windows di caricare driver firmati ma vulnerabili. Il meccanismo più comune per il blocco dei driver utilizza una combinazione di ciò che viene chiamato integrità della memoria e HVCI, abbreviazione di Hypervisor-Protected Code Integrity. Un meccanismo separato per impedire che i driver difettosi vengano scritti su disco è noto come ASR, o Attack Surface Reduction. Purtroppo, nessuno dei due approcci sembra aver funzionato come previsto.
