Ignorancja, bezmyślność i jedno z epokowych kuriozów branży cyberbezpieczeństwa

Jest połowa roku 2018. W sterowniku Gigabyte'a wykryta zostaje niebezpieczna podatność (CVE-2018-19320), która może doprowadzić do uzyskania przez dowolny proces dostępu do jądra systemu Windows. Firma Secure Auth, odpowiedzialna za znalezisko, niezwłocznie informuje producenta o zagrożeniu. Ten jednak nie wydaje łatki, a tylko oświadczenie stwierdzające, że nie ma powodów do obaw.

Zamiast naciskać na firmę Gigabyte, ewentualnie zgłosić ją do organów zajmujących się ochroną konsumenta, w grudniu 2018 r. Secure Auth podejmuje absurdalną decyzję. Publicznie udostępnia informacje o exploicie wraz z przykładami jego zastosowania.

Lista zagrożonych aplikacji Gigabyte:Aorus Graphics Engine 1.33 i starszeApp Center 1.05.21 i starszeGigabyte OC GURU II 2.08Xtreme Gaming Engine 1.25 i starszeW końcu usunęli. Pliki ze stronyGigabyte, przyparty do muru przez opinię publiczną, wycofuje wadliwy sterownik. Tyle że owo wycofanie w istocie rzeczy polega na usunięciu go ze strony. Z jakiegoś powodu certyfikaty nie zostają unieważnione, więc oprogramowanie w dalszym ciągu można zainstalować i wykorzystywać, narażając się na atak. Tu, jak podaje Sophos, zawiniła jeszcze jedna firma, Verisign. To właśnie jej mechanizm został użyty do podpisania sterownika.

"Verisign, którego mechanizm podpisywania kodu został użyty do cyfrowego podpisania sterownika, nie odwołał certyfikatu podpisywania, więc podpis Authenticode pozostaje ważny" – czytamy w raporcie Sophos. A jaki jest tego efekt, łatwo się domyślić.

Sophos donosi teraz o serii ataków ransomware'em RobbinHood, który dystrybuowany jest jako sterownik trybu kernel, a co za tym idzie właściwie nie można się przed nim obronić. Przestępcy aplikują rzeczonego szkodnika korzystając oczywiście z opisanej podatności Gigabyte'a. Narzędzie wykorzystywane do ataku najpierw instaluje całkowicie legalny (i wciąż podpisany) sterownik, a później – własny sterownik, który paraliżuje antywirusy i aktywuje ransomware.