Ignorancja, bezmyślność i jedno z epokowych kuriozów branży cyberbezpieczeństwa

Strona główna Aktualności
fot. Shutterstock.com
fot. Shutterstock.com

O autorze

Jeśli ktoś zechciałby sporządzić listę najbardziej kuriozalnych sytuacji w branży bezpieczeństwa, to niniejszym ma mocnego kandydata do pozycji numer jeden. W tej historii jest wszystko; ignorancja, bezmyślność i ostatecznie efekt w postaci serii ataków.

Jest połowa roku 2018. W sterowniku Gigabyte'a wykryta zostaje niebezpieczna podatność (CVE-2018-19320), która może doprowadzić do uzyskania przez dowolny proces dostępu do jądra systemu Windows. Firma Secure Auth, odpowiedzialna za znalezisko, niezwłocznie informuje producenta o zagrożeniu. Ten jednak nie wydaje łatki, a tylko oświadczenie stwierdzające, że nie ma powodów do obaw.

Zamiast naciskać na firmę Gigabyte, ewentualnie zgłosić ją do organów zajmujących się ochroną konsumenta, w grudniu 2018 r. Secure Auth podejmuje absurdalną decyzję. Publicznie udostępnia informacje o exploicie wraz z przykładami jego zastosowania.

Lista zagrożonych aplikacji Gigabyte:

  • Aorus Graphics Engine 1.33 i starsze
  • App Center 1.05.21 i starsze
  • Gigabyte OC GURU II 2.08
  • Xtreme Gaming Engine 1.25 i starsze

W końcu usunęli. Pliki ze strony

Gigabyte, przyparty do muru przez opinię publiczną, wycofuje wadliwy sterownik. Tyle że owo wycofanie w istocie rzeczy polega na usunięciu go ze strony. Z jakiegoś powodu certyfikaty nie zostają unieważnione, więc oprogramowanie w dalszym ciągu można zainstalować i wykorzystywać, narażając się na atak. Tu, jak podaje Sophos, zawiniła jeszcze jedna firma, Verisign. To właśnie jej mechanizm został użyty do podpisania sterownika.

"Verisign, którego mechanizm podpisywania kodu został użyty do cyfrowego podpisania sterownika, nie odwołał certyfikatu podpisywania, więc podpis Authenticode pozostaje ważny" – czytamy w raporcie Sophos. A jaki jest tego efekt, łatwo się domyślić.

Sophos donosi teraz o serii ataków ransomware'em RobbinHood, który dystrybuowany jest jako sterownik trybu kernel, a co za tym idzie właściwie nie można się przed nim obronić. Przestępcy aplikują rzeczonego szkodnika korzystając oczywiście z opisanej podatności Gigabyte'a. Narzędzie wykorzystywane do ataku najpierw instaluje całkowicie legalny (i wciąż podpisany) sterownik, a później – własny sterownik, który paraliżuje antywirusy i aktywuje ransomware.

© dobreprogramy
s