Gå direkt till innehåll
Nytt cyberhot - äldre drivrutiner utnyttjas för att kringgå säkerhetsskydd

Nyhet -

Nytt cyberhot - äldre drivrutiner utnyttjas för att kringgå säkerhetsskydd

Check Point Research (CPR) har nyligen upptäckt en ny form av cyberhot, där cyberkriminella aktörer i allt högre grad utnyttjar sårbarheter hos äldre drivrutiner för att kringgå säkerhetsåtgärder och möjliggöra spridningen av skadligt innehåll. Dessa drivrutiner, som arbetar i kernel-läge, har den högsta nivån av behörighet - vilket gör dem till ett attraktivt mål för skadliga aktiviteter.

Microsoft införde 2015 en ny policy som kräver att nya drivrutiner behöver signeras för att förhindra att de utnyttjas. Drivrutiner innan denna ändring tilläts dock fortfarande att köras - vilket skapar ett kryphål. Cyberkriminella aktörer utnyttjade därmed detta kryphål genom användning av en äldre version av drivrutinen Truesight.sys - känd för att innehålla sårbarheter, även i senare versioner.

Genom att skapa 2500 varianter av versionen Truesight.sys 2.0.2, alla med olika hash-värden, lyckades angriparna undvika att bli upptäckta. Genom att modifiera specifika delar av drivrutinen, samtidigt som den digitala signaturen hölls giltig, kunde de säkerställa om en variant upptäcktes, skulle de övriga förbli oupptäckta. CPR har sedan dess rapporterat problemet till Microsoft, som i sin tur uppdaterade blocklistan och därmed blockerade alla varianter av den sårbara drivrutinen som utnyttjats.

- Att upptäcka missbruk av sårbara drivrutiner är avgörande för att minska risken för hot, säger Mats Ekdahl, säkerhetsexpert på Check Point Software. Samtidigt så visar denna forskning att ständig jakt efter okända sårbarheter kan leda till väsentliga fynd och även upptäcka dolda skadliga aktiviteter som varit oupptäckta i flera månader - eller till och med år.

    Läs mer på Check Point Softwares blogg: https://blog.checkpoint.com/research/how-hunting-for-vulnerable-drivers-unraveled-a-widespread-attack/

    Ämnen

    Kontakter

    Relaterat innehåll

    • Cyberkriminella manipulerar URL:er för att lura användare

      Cyberkriminella manipulerar URL:er för att lura användare

      IT-säkerhetsföretaget Check Point Software har nyligen uppmärksammat en nätfiske-kampanj där cyberkriminella aktörer manipulerar URL-information för att dölja skadliga länkar. Forskare har upptäckt omkring 200 000 nätfiskeförsök via mejl som har använt denna metod.

    • 1,5 miljarder dollar stulna i en kryptokupp

      1,5 miljarder dollar stulna i en kryptokupp

      För två dagar sedan bröt sig hackare in i en offline Ethereum-plånbok och stal 1,5 miljarder dollar från Bybit-börsen. Incidenten markerar ett stort skifte gällande brottslighet i kryptovärlden. Angripare manipulerar nu mänskliga sårbarheter genom social ingenjörskonst och UI-manipulation, snarare än att utnyttja svagheter i kod.