Threats

Cibercriminosos contornam proteções através de vulnerabilidade em driver do Windows

O grupo ataca empresas de telecomunicações de de Busines Process Outsourcing, aplicando técnicas de Bring Your Own Vulnerable Driver

12/01/2023

Cibercriminosos contornam proteções através de vulnerabilidade em driver do Windows

O grupo cibercriminoso Scattered Spider foi observado a explorar uma vulnerabilidade num driver de diagnóstico Intel Ethernet para Windows. Também denominado Roasted Oktapus e UNC3944, o grupo visa organizações de telecomunicações e de Business Process Outsourcing (BPO) desde junho de 2022.

O grupo foi observado a recorrer a engenharia social e phishing para obter as credenciais das vítimas e OTP – one-time passwords –, e a implementar ferramentas de VPN e RMM após a infeção, disse a CrowdStrike em dezembro de 2022. A empresa explica que os cibercriminosos foram vistos a implementar um driver kernel malicioso nas últimas semanas, explorando a vulnerabilidade CVE-2015-2291, levando à execução arbitrária de código com privilégios kernel.

Esta vulnerabilidade tem sido utilizada por atacantes há vários anos para colocar drivers maliciosos no kernel do Windows. Esta técnica é conhecida como Bring Your Own Vulnerable Driver (BYOVD) e é uma tática que tem persistido devido a uma lacuna na segurança do Windows”, nota a CrowdStrike.

De acordo com a SecurityWeek, desde o Windows Vista que a Microsoft bloqueou a execução de drivers kernel não aprovados, contudo, o BYOVD permite que os atacantes contornem a proteção e instalem um driver legitimamente aprovados, mas malicioso. Ferramentas disponíveis publicamente podem ser utilizadas para mapear os drivers não aprovados na memória.

Apesar de a Microsoft ter anunciado que os drivers com vulnerabilidades de segurança seriam bloqueados do Windows 10, os dados mostram que os cibercriminosos são bem sucedidos em contornar as proteções. O grupo foi visto a tentar contornar as proteções oferecidas por diversas empresas de segurança, tanto pela Microsoft, como pela Palo Alto Networks, SentinelOne e CrowdStrike.

Embora a atividade delineada pareça visar indústrias específicas, as organizações de todos os tipos devem aplicar as lições aprendidas para endurecer as defesas contra tais ameaças”, conclui a CrowdStrike.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.