Útoky „Prineste si vlastný zraniteľný ovládač“ rozbíjajú Windows

Digitálna bezpečnosť je neustála hra na mačku a myš, pričom nové zraniteľnosti sa objavujú rovnako rýchlo (ak nie rýchlejšie), ako sa opravujú staršie problémy. V poslednej dobe sa útoky typu „Prineste si vlastný zraniteľný ovládač“ stávajú zložitým problémom pre počítače so systémom Windows.

Väčšina ovládačov systému Windows je navrhnutá na interakciu s konkrétnym hardvérom – ak si napríklad kúpite náhlavnú súpravu od spoločnosti Logitech a pripojíte ju, systém Windows môže automaticky nainštalovať ovládač od spoločnosti Logitech. Existuje však veľa ovládačov na úrovni jadra systému Windows, ktoré nie sú určené na komunikáciu s externými zariadeniami. Niektoré sa používajú na ladenie systémových volaní na nízkej úrovni a v posledných rokoch ich mnohé počítačové hry začali inštalovať ako anti-cheat softvér.

Systém Windows predvolene neumožňuje spúšťanie nepodpísaných ovládačov v režime jadra, počnúc 64-bitovým systémom Windows Vista, čo výrazne znížilo množstvo škodlivého softvéru, ktorý môže získať prístup k celému vášmu počítaču. To viedlo k rastúcej popularite zraniteľností „Bring Your Own Vulnerable Driver“ alebo skrátene BYOVD, ktoré využívajú existujúce podpísané ovládače namiesto načítania nových nepodpísaných ovládačov.

Ako to teda funguje? Zahŕňa to programy škodlivého softvéru, ktoré nájdu zraniteľný ovládač, ktorý sa už nachádza na počítači so systémom Windows. Táto chyba zabezpečenia hľadá podpísaný ovládač, ktorý neoveruje volania registrov špecifických pre daný model (MSR), a potom to využíva na interakciu s jadrom Windowsu prostredníctvom napadnutého ovládača (alebo ho použije na načítanie nepodpísaného ovládača). Ak chcete použiť analógiu zo skutočného života, je to ako, ako vírus alebo parazit používa hostiteľský organizmus na svoje šírenie, ale hostiteľ je v tomto prípade ďalšou hnacou silou.

Túto zraniteľnosť už malvér vo voľnej prírode využil. Výskumníci spoločnosti ESET zistili, že jeden škodlivý program s prezývkou „InvisiMole“ použil zraniteľnosť BYOVD v ovládači pre nástroj „SpeedFan“ spoločnosti Almico na načítanie škodlivého nepodpísaného ovládača. Vydavateľ videohier Capcom tiež vydal niekoľko hier s anti-cheat ovládačom, ktorý by sa dal ľahko uniesť.

Softvérové zmiernenia neslávne známych bezpečnostných chýb Meltdown a Spectre od spoločnosti Microsoft z roku 2018 tiež zabraňujú niektorým útokom BYOVD a ďalšie nedávne vylepšenia procesorov x86 od spoločností Intel a AMD uzatvárajú niektoré medzery. Nie každý však má najnovšie počítače alebo najnovšie plne opravené verzie systému Windows, takže malvér, ktorý používa BYOVD, je stále pretrvávajúcim problémom. Útoky sú tiež neuveriteľne komplikované, takže je ťažké ich úplne zmierniť pomocou aktuálneho modelu ovládača v systéme Windows.

Najlepším spôsobom, ako sa chrániť pred akýmkoľvek malvérom vrátane zraniteľností BYOVD objavených v budúcnosti, je ponechať program Windows Defender povolený v počítači a umožniť systému Windows inštalovať aktualizácie zabezpečenia vždy, keď budú vydané. Dodatočnú ochranu môže poskytnúť aj antivírusový softvér tretích strán, ale zvyčajne stačí vstavaný Defender.

Zdroj: ESET