Исследование ESET «Принеси свой собственный уязвимый драйвер» подробно описывает атаки на драйверы в ядре Windows.

- Подробный пост в блоге содержит подробный обзор уязвимостей в драйверах ядра (центрального компонента операционной системы Windows).
- Уязвимости в подписанных драйверах в основном используются разработчиками игровых читов для обхода механизмов защиты от читов, но они также использовались несколькими APT-группами и в обычных вредоносных программах.
- Доставка уязвимого подписанного драйвера ядра является популярным вариантом для злоумышленников — этот метод называется «Принеси свой собственный уязвимый драйвер» (BYOVD).
- Эта техника использовалась APT-группами Slingshot и InvisiMole, семейством программ-вымогателей RobbinHood и LoJax, первым в мире руткитом UEFI, используемым в дикой природе.
- Исследователи ESET обнаружили уязвимости в трех драйверах.
- В блоге подробно описаны методы смягчения последствий.

Среди различных типов драйверов ядра (центрального компонента операционной системы Windows) есть «программные» драйверы, которые обеспечивают определенные, не связанные с оборудованием функции, такие как отладка и диагностика программного обеспечения, системный анализ и т. д. Они склонны расширять поверхность атаки. существенно. Хотя прямая загрузка вредоносного неподписанного драйвера больше невозможна в более новых версиях Windows, а руткиты ядра считаются делом прошлого, все еще существуют способы загрузки вредоносного кода в ядро, особенно путем злоупотребления законными, подписанными водители. Действительно, существует множество драйверов от различных производителей аппаратного и программного обеспечения, которые предлагают функциональные возможности для полного доступа к ядру с минимальными усилиями.

 Уязвимости, наиболее часто наблюдаемые в драйверах ядра, включают:
- сбои в добавлении проверок, ограничивающих доступ для чтения и записи к критическим регистрам модели (MSR);
- предоставление возможности отображать физическую память из пользовательского режима для чтения и записи; и
- раскрытие возможности доступа к виртуальной памяти ядра из пользовательского режима для чтения и записи.

«Когда вредоносным программам необходимо запустить вредоносный код в ядре Windows на системах x64 с принудительной подписью драйверов, наличие уязвимого подписанного драйвера ядра кажется приемлемым вариантом для этого. Этот метод известен как Bring Your Own Vulnerable Driver, сокращенно BYOVD, и было замечено, что он используется в дикой природе как высококлассными злоумышленниками APT, так и в массовом вредоносном ПО», — объясняет Питер Калнай, один из соисследователей этого исследования.

Примеры злоумышленников, использующих методику BYOVD, включают APT-группу Slingshot, которая реализовала свой основной модуль под названием Cahnadr в виде драйвера режима ядра, который может быть загружен уязвимыми подписанными драйверами ядра. Другим примером является группа InvisiMole APT, которая была обнаружена исследователями ESET в 2018 году. Более новый вариант вредоносного ПО InvisiMole — единственный на сегодняшний день случай, когда ESET наблюдала использование MSR в системах Windows 10 x64, используемых в дикой природе вредоносным ПО. актер.
Еще одним примером является программа-вымогатель RobbinHood, которая, как обычное вредоносное ПО, стремится охватить как можно больше людей. Таким образом, видеть, как он использует технику BYOVD, редко, но мощно. Эта программа-вымогатель использует уязвимый драйвер материнской платы GIGABYTE, чтобы отключить проверку подписи драйверов и установить собственный вредоносный драйвер. Наконец, LoJax, еще одно открытие ESET в 2018 году и первый в истории руткит UEFI, используемый в дикой природе, использовал драйвер RWEverything для получения доступа к модулям UEFI жертв. 
Исследователи ESET не только каталогизировали существующие уязвимости, но и искали новые — полный список обнаруженных уязвимостей можно найти в опубликованном подробном блоге. Поставщики, с которыми связалась ESET, проявили большую активность в процессе раскрытия информации и стремились исправить обнаруженные уязвимости.

«Хотя центральный процессор и/или операционная система используют несколько механизмов, большинство из них можно обойти с помощью некоторых хитрых приемов, и они не очень эффективны, если злоумышленник подготовится к ним заранее», — говорит Калнаи.  

 Блог предлагает следующие полезные методы смягчения последствий:
- Безопасность на основе виртуализации : эта функция, представленная в Windows 10, использует аппаратную виртуализацию для помещения ядра в изолированную программную среду, тем самым защищая операционную систему с помощью различных средств защиты.
- Отзыв сертификата . В современных системах Windows драйверы должны иметь действительную подпись на основе «приемлемого» сертификата. Следовательно, отзыв сертификата уязвимого драйвера был бы простым способом «разоружить» его и сделать бесполезным в большинстве случаев.
- Блокирование драйверов : это практика, принятая как Microsoft, так и различными сторонними поставщиками продуктов для обеспечения безопасности, включая ESET, для обнаружения и удаления наиболее известных уязвимых драйверов, обнаруженных в системе.
Дополнительные технические сведения об уязвимых подписанных драйверах ядра см. в блоге « Подписанные драйверы ядра — незащищенный вход в ядро ​​Windows » на сайте WeLiveSecurity.