Onderzoekers hebben verschillende ransomware-aanvallen ontdekt waarbij aanvallers een kwetsbare driver van hardwarefabrikant Gigabyte gebruikten om aanwezige antivirussoftware uit te schakelen voordat de ransomware werd uitgerold. Dat laat antivirusbedrijf Sophos in een rapport weten.

De kwetsbaarheid in de driver stamt uit 2018 en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om volledige controle over het systeem te krijgen. Gigabyte liet in eerste instantie weten dat de driver niet kwetsbaar was. Later werd de driver niet meer aangeboden. Zowel Microsoft als Verisign, waarvan het mechanisme werd gebruikt om de driver digitaal te ondertekenen, hebben het certificaat dat hiervoor werd gebruikt niet ingetrokken. Daardoor is de Authenticode-handtekening nog steeds geldig.

64-bit Windowssystemen beschikken over een mechanisme genaamd "driver signature enforcement" dat ervoor zorgt dat Windows alleen drivers laadt die zowel door een fabrikant als Microsoft zijn gesigneerd. Dit is een verplichting die voor alle drivers geldt die op 64-bit versies van Windows geladen willen worden. Om aanwezige beveiligingssoftware uit te schakelen maken de aanvallers gebruik van een eigen driver.

In plaats van hun driver te laten signeren, waarvoor er een certificaat moet worden aangeschaft, dat weer kan worden ingetrokken waardoor de driver niet meer werkt, kozen de aanvallers een andere route. Een kwetsbaarheid in de Gigabyte-driver maakt het mogelijk voor de aanvallers om hun rechten te verhogen, waardoor ze de driver signature enforcement in Windows in het kernelgeheugen kunnen uitschakelen. Wanneer deze beveiligingsmaatregel is uitgeschakeld kunnen de aanvallers hun eigen kwaadaardige, niet-gesigneerde driver laden.

Deze niet-gesigneerde driver schakelt vervolgens aanwezige antivirussoftware uit, zodat de aanvallers hun ransomware kunnen uitrollen. "Dit is de eerste keer dat we ransomware hebben gezien die werd geleverd met een mede door Microsoft ondertekende, maar kwetsbare third-party driver om de Windowskernel in het geheugen te patchen, hun eigen ongetekende kwaadaardige driver te laden, en vanuit kernelspace aanwezige beveiligingssoftware uit te schakelen", stelt Sophos.

De onderzoekers van het antivirusbedrijf merken op dat er meer drivers met dergelijke kwetsbaarheden in omloop zijn, maar dat op dit moment alleen de kwetsbare Gigabyte-driver wordt gebruikt. "Computers die volledig zijn gepatcht en geen bekende kwetsbaarheden bevatten kunnen nog steeds in een puinhoop veranderen omdat deze aanvaller zijn eigen kwetsbaarheden meebrengt", aldus Sophos. Organisaties krijgen het advies, naast het nemen van "strong security practices", om in awareness en trainingen van het personeel te investeren. "Mensen zijn altijd de zwakste schakel in cybersecurity", besluit de virusbestrijder.