به گزارش مرکز ماهر، یک حفرهی امنیتی در درایورهای مادربرد گیگابایت شناسایی شده که میتواند منجر به آلودهشدن سیستم کاربر به باج افزاری به نام #رابین_هود شود.
این حفرهی امنیتی که با شناسهی "CVE-2018-19320" بهثبت رسیده است، در یک درایور سطح هستهی گیگابایت به نام "gdrv.sys" نهفته است که به مهاجم، امکان دسترسی به مجوزهای ممنوعه را میدهد.
بهطور معمول، فرایندهای امنیتی ویندوز فقط توسط درایورهای هسته ازکار میافتند. بهمنظور جلوگیری از سوءاستفاده از درایورهای هسته، مایکروسافت یک مکانیسم تأیید امضای درایور را پیادهسازی کرده است که فقط درایورهای هسته با هماهنگی #مایکروسافت قابل نصب هستند.
اما اکنون مهاجمان، یک درایور آسیبپذیر شناختهشدهی گیگابایت را نصب کرده و از یک آسیبپذیری شناختهشده برای غیرفعالکردن ویژگی اجرای امضای درایور مایکروسافت سوءاستفاده کردند.
#گیگابایت استفاده از این درایور را کنار گذاشته اما هنوز بر روی هزاران رایانه یافت میشود و تهدیدی برای کاربران آنها است. متأسفانه امضای دیجیتال این درایور هنوز باطل نشده است و ویندوز همچنان اجازهی نصب آنرا میدهد.
در حملات انجامشده، مهاجم از طریق این درایور آسیبپذیر گیگابایت، یک درایور دیگر را به سیستم تزریق میکند که قادر به از کار انداختن محصولات امنیتی، عبور از لایههای امنیتی ویندوز و نصب باجافزار رابینهود است.
اپراتورهای رابینهود در حملات خود طبق مراحل زیر عمل میکنند:
- نفوذ به شبکه شرکت هدف،
- نصب درایور مشروع Gigabyte GDRV.SYS
- بهرهبرداری از آسیبپذیری درایور فوق جهت دسترسی به هسته،
- سوءاستفاده از این دسترسی برای غیرفعالسازی موقت امضای دیجیتال درایور در ویندوز،
- استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعالسازی یا متوقفکردن آنتیویروسهای میزبان آلوده،
- راهاندازی باج افزار رابینهود و رمزنگاری فایلهای قربانی.
قربانیان این #باج_افزار باید برای #رمزگشایی فایلهای خود مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا میرود.
محققان معتقدند که راهی برای کمک به کاربران و جلوگیری از این حمله در سیستمهای دارای ویندوز 7، 8 و 10 وجود ندارد و کاربران باید همچنان از نرمافزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.
این حفرهی امنیتی که با شناسهی "CVE-2018-19320" بهثبت رسیده است، در یک درایور سطح هستهی گیگابایت به نام "gdrv.sys" نهفته است که به مهاجم، امکان دسترسی به مجوزهای ممنوعه را میدهد.
بهطور معمول، فرایندهای امنیتی ویندوز فقط توسط درایورهای هسته ازکار میافتند. بهمنظور جلوگیری از سوءاستفاده از درایورهای هسته، مایکروسافت یک مکانیسم تأیید امضای درایور را پیادهسازی کرده است که فقط درایورهای هسته با هماهنگی #مایکروسافت قابل نصب هستند.
اما اکنون مهاجمان، یک درایور آسیبپذیر شناختهشدهی گیگابایت را نصب کرده و از یک آسیبپذیری شناختهشده برای غیرفعالکردن ویژگی اجرای امضای درایور مایکروسافت سوءاستفاده کردند.
#گیگابایت استفاده از این درایور را کنار گذاشته اما هنوز بر روی هزاران رایانه یافت میشود و تهدیدی برای کاربران آنها است. متأسفانه امضای دیجیتال این درایور هنوز باطل نشده است و ویندوز همچنان اجازهی نصب آنرا میدهد.
در حملات انجامشده، مهاجم از طریق این درایور آسیبپذیر گیگابایت، یک درایور دیگر را به سیستم تزریق میکند که قادر به از کار انداختن محصولات امنیتی، عبور از لایههای امنیتی ویندوز و نصب باجافزار رابینهود است.
اپراتورهای رابینهود در حملات خود طبق مراحل زیر عمل میکنند:
- نفوذ به شبکه شرکت هدف،
- نصب درایور مشروع Gigabyte GDRV.SYS
- بهرهبرداری از آسیبپذیری درایور فوق جهت دسترسی به هسته،
- سوءاستفاده از این دسترسی برای غیرفعالسازی موقت امضای دیجیتال درایور در ویندوز،
- استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعالسازی یا متوقفکردن آنتیویروسهای میزبان آلوده،
- راهاندازی باج افزار رابینهود و رمزنگاری فایلهای قربانی.
قربانیان این #باج_افزار باید برای #رمزگشایی فایلهای خود مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا میرود.
محققان معتقدند که راهی برای کمک به کاربران و جلوگیری از این حمله در سیستمهای دارای ویندوز 7، 8 و 10 وجود ندارد و کاربران باید همچنان از نرمافزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.