Figyelem! Hackerek kihasználják az Avast szoftverében felfedezett sebezhetőségeket a rendszerek feltörésére.
A kibertámadás során a hackerek egy régi Avast-illesztőprogramot manipulálnak, hogy megbénítsák a biztonsági rendszereket, majd így könnyedén átvegyék az irányítást a számítógépek fölött.
A Trellix biztonsági csapata felfedezett egy új, rendkívül kifinomult kártevő kampányt, amely az Avast régi anti-rootkit illesztőprogramjának (ntfs.bin) sebezhetőségét célozza meg. A "kill-floor.exe" néven ismert kártevő egy innovatív megközelítést alkalmaz, amely lehetővé teszi a támadók számára, hogy leállítsák a különböző biztonsági szolgáltatók védelmi rendszereit. Ez a folyamat konkrétan 142 különböző biztonsági szolgáltatáshoz kapcsolódó védelmi mechanizmust érint, ezzel jelentős fenyegetést jelentve a felhasználók számára.
A "hozd a saját sebezhető illesztőprogramodat" (BYOVD) módszer népszerűsége a szakmai közegben folyamatosan növekszik. Ez a technika a kernel szintjén fejti ki hatását, ami azt jelenti, hogy a támadók képesek belépni az operációs rendszer legérzékenyebb területeire. Ezzel lehetőségük nyílik arra, hogy teljes körű ellenőrzést gyakoroljanak a számítógép felett.
A támadás során a rosszindulatú szoftver egy új szolgáltatást generál az "sc.exe" eszköz segítségével, amely az "aswArPot.sys" névre hallgat. Ez a szolgáltatás felelős az illesztőprogram regisztrálásáért, majd IOCTL-parancsokkal kezdi el meghekkelni a védelmi rendszereket. A szakértők megfigyelése szerint ez a módszer egyre elterjedtebbé válik, ami a modern kibertámadások fokozódó bonyolultságát és rafináltságát jelzi.
A BYOVD-technika lényege abban rejlik, hogy a támadók a célzott rendszeren már jelen lévő, sebezhető illesztőprogramokat kihasználva próbálják megkerülni a biztonsági mechanizmusokat, ezzel magasabb szintű jogosultságokhoz jutva. Ez a megközelítés nem számít újdonságnak, azonban az utóbbi évek során egyre kifinomultabb formákat öltött.
Egy jól ismert példa erre a Stuxnet féreg, amelyet 2010-ben fedeztek fel. Ez a malware a Windows nulladik napi sebezhetőségeit használta ki, hogy kritikus infrastruktúrákat támadjon meg Iránban. A Stuxnet az egyik első olyan dokumentált malware volt, amely BYOVD-taktikát alkalmazott geopolitikai célú támadások végrehajtására.
Trishaan Kalra, a Trellix szakértője rávilágított, hogy a malware olyan hivatkozást generál, amely az Avast telepített illesztőprogramját célozza meg. Ez a módszer lehetővé teszi a malware számára, hogy szinte észrevétlenül beavatkozzon a biztonsági intézkedések működésébe.
A szakértők arra hívják fel a figyelmet, hogy ha a védelem inaktív, a támadók szabad utat kapnak, hogy adatokat lopjanak és veszélyeztessék az adatbiztonságot, mindezt anélkül, hogy bárminemű riasztást kiváltanának. Ezért elengedhetetlen, hogy a felhasználók rendszeresen frissítsék rendszereiket, és ügyeljenek arra, hogy ne maradjanak elavult illesztőprogramok.
A szakértők azt javasolják az IT-rendszergazdáknak, hogy alkalmazzanak olyan szabályokat, amelyek képesek azonosítani és blokkolni a rosszindulatú komponenseket hash-ek vagy aláírások alapján. Emellett a Windows 11 2022-es kiadása óta a Microsoft alapértelmezés szerint aktiválta a sebezhető illesztőprogramok listáját, amelyet folyamatosan frissítenek. Ez a proaktív lépés segít a BYOVD-támadások megelőzésében.
A BYOVD-támadások története nem újkeletű, hiszen ezek már korábban is megjelentek. Például 2021 végén a Stroz Friedberg szakértői felfedezték, hogy a "Cuba" nevű zsarolóprogram egy sebezhető illesztőprogram kihasználásával végezte el a támadást. Ezzel párhuzamosan a SentinelLabs két kritikus sebezhetőséget is azonosított az Avast illesztőprogramjában, amelyeket azóta sikeresen javítottak.
Az ilyen támadások ismétlődése rávilágít a szoftverfrissítések és a sebezhetőségek kezelésének fontosságára. A vállalatoknak és egyéni felhasználóknak is körültekintően kell tehát eljárniuk a biztonsági rendszerek naprakészen tartásában, ha biztonságban szeretnék tudni rendszereiket.
