Ignorancja, bezmyślność i jedno z epokowych kuriozów branży cyberbezpieczeństwa

Strona głównaIgnorancja, bezmyślność i jedno z epokowych kuriozów branży cyberbezpieczeństwa
08.02.2020 09:39
fot. Shutterstock.com
fot. Shutterstock.com

Jeśli ktoś zechciałby sporządzić listę najbardziej kuriozalnych sytuacji w branży bezpieczeństwa, to niniejszym ma mocnego kandydata do pozycji numer jeden. W tej historii jest wszystko; ignorancja, bezmyślność i ostatecznie efekt w postaci serii ataków.

bEqTfxCJ

Jest połowa roku 2018. W sterowniku Gigabyte'a wykryta zostaje niebezpieczna podatność (CVE-2018-19320), która może doprowadzić do uzyskania przez dowolny proces dostępu do jądra systemu Windows. Firma Secure Auth, odpowiedzialna za znalezisko, niezwłocznie informuje producenta o zagrożeniu. Ten jednak nie wydaje łatki, a tylko oświadczenie stwierdzające, że nie ma powodów do obaw.

Zamiast naciskać na firmę Gigabyte, ewentualnie zgłosić ją do organów zajmujących się ochroną konsumenta, w grudniu 2018 r. Secure Auth podejmuje absurdalną decyzję. Publicznie udostępnia informacje o exploicie wraz z przykładami jego zastosowania.

Lista zagrożonych aplikacji Gigabyte:Aorus Graphics Engine 1.33 i starszeApp Center 1.05.21 i starszeGigabyte OC GURU II 2.08Xtreme Gaming Engine 1.25 i starszeW końcu usunęli. Pliki ze stronyGigabyte, przyparty do muru przez opinię publiczną, wycofuje wadliwy sterownik. Tyle że owo wycofanie w istocie rzeczy polega na usunięciu go ze strony. Z jakiegoś powodu certyfikaty nie zostają unieważnione, więc oprogramowanie w dalszym ciągu można zainstalować i wykorzystywać, narażając się na atak. Tu, jak podaje Sophos, zawiniła jeszcze jedna firma, Verisign. To właśnie jej mechanizm został użyty do podpisania sterownika.

bEqTfxCL

"Verisign, którego mechanizm podpisywania kodu został użyty do cyfrowego podpisania sterownika, nie odwołał certyfikatu podpisywania, więc podpis Authenticode pozostaje ważny" – czytamy w raporcie Sophos. A jaki jest tego efekt, łatwo się domyślić.

Sophos donosi teraz o serii ataków ransomware'em RobbinHood, który dystrybuowany jest jako sterownik trybu kernel, a co za tym idzie właściwie nie można się przed nim obronić. Przestępcy aplikują rzeczonego szkodnika korzystając oczywiście z opisanej podatności Gigabyte'a. Narzędzie wykorzystywane do ataku najpierw instaluje całkowicie legalny (i wciąż podpisany) sterownik, a później – własny sterownik, który paraliżuje antywirusy i aktywuje ransomware.

Programy

Aktualizacje
Aktualizacje
Nowości
bEqTfxDH