[English]Die Betreiber der BlackByte Ransomware nutzen eine Schwachstelle in einem legitimen Windows-Treiber (von Micro-Stars MSI AfterBurner 4.6.2.15658) aus, um Sicherheitslösungen auszuhebeln. Darauf haben Sicherheitsforscher von Sophos kürzlich in einem Bericht hingewiesen. Diese Technik ist als BYOVD-Angriff (BYOVD, Bring Your Own Vulnerable Driver) bekannt und nichts neues. Ich möchte das Thema hier aber trotzdem als erneute Warnung aufgreifen.
Anzeige
Bring Your Own Vulnerable Driver
BYOVD steht als Kürzel für Bring Your Own Vulnerable Driver. Das ist eine Angriffstechnik, bei dem ein legitimer und signierter Windows-Treiber über Schwachstellen für Angriffe auf Systeme ausgenutzt wird. Im Juli 2022 berichtete Trend Micro über den Missbrauch eines anfälligen Anti-Cheat-Treibers für das Spiel Genshin Impact mit dem Namen mhyprot2.sys, um Antiviren-Prozesse und -Dienste für die Massenverbreitung von Ransomware zu beenden. Im Mai 2022 zeigte ein weiterer Bericht, wie eine AvosLocker-Ransomware-Variante ebenfalls den anfälligen Avast Anti-Rootkit-Treiber aswarpot.sys zur Umgehung von Sicherheitsfunktionen missbrauchte.
Neuer Fall durch BlackByte-Ransomware
Ein weiterer Fall dieser Angriffstechnik wurde jetzt von Sophos im Beitrag A fresh exploration of the malware uncovers a new tactic for bypassing security products by abusing a known driver vulnerability öffentlich gemacht.
Andreas Klopsch von Sophos schreibt, dass man sich angesichts von Berichten über eine neue Datenleck-Site der BlackByte-Ransomware-Gruppe näher mit der neuesten, in Go geschriebenen, Ransomware-Variante befasst habe. Dabei stieß man auf eine ausgeklügelte Technik zur Umgehung von Sicherheitsprodukten durch Ausnutzung einer bekannten Schwachstelle im legitimen anfälligen Treiber RTCore64.sys.
CVE-2019-16098 in Micro-Stars MSI AfterBurner 4.6.2.15658 Treiber
RTCore64.sys und RTCore32.sys sind Treiber, die von Micro-Stars MSI AfterBurner 4.6.2.15658 verwendet werden. Das ist ein weit verbreitetes Dienstprogramm zur Übertaktung von Grafikkarten, welches eine erweiterte Kontrolle über Grafikkarten im System ermöglicht.
Anzeige
Die Schwachstelle CVE-2019-16098 ermöglicht es einem authentifizierten Benutzer, beliebigen Speicher sowie I/O-Ports und MSR (könnte MSR = Microsoft System Reserved oder Model Specific Register) zu lesen und zu beschreiben. Das kann zur Ausweitung von Privilegien, zur Codeausführung mit hohen Rechten oder zur Offenlegung von Informationen ausgenutzt werden.
Die E/A-Steuercodes in RTCore64.sys sind für Prozesse im Benutzermodus direkt zugänglich. Wie in der Microsoft-Richtlinie zur Sicherung von IOCTL-Codes in Treibern angegeben, gilt die Definition von IOCTL-Codes, die es dem Aufrufer ermöglichen, unspezifische Bereiche des Kernelspeichers zu lesen oder zu schreiben, als gefährlich. Es ist kein Shellcode oder Exploit erforderlich, um die Schwachstelle auszunutzen – es genügt, mit böswilliger Absicht auf diese Steuercodes zuzugreifen.
Sicherheitsprodukte lassen sich deaktivieren
Im Blog-Beitrag geht Andreas Klopsch von Sophos ausführlich auf die Details des Angriffsvektors ein. Am Schluss zählt nur, dass die von der Ransomware genutzte Umgehungstechnik die Deaktivierung von mehr als 1.000 Treibern, auf die sich Sicherheitsprodukte verlassen, unterstützt. Sophos Produkte bieten Schutzmaßnahmen gegen die in diesem Artikel beschriebenen Taktiken. (via)
Anzeige
Ich denke mal, MSR meint eher "Model-Specific Register":
https://en.wikipedia.org/wiki/Model-specific_register
Könnte gut sein.
Wäre es nicht nützlich eine Liste mit allen aktuell anfälligen Treibern zu veröffentlichen?
Nur wenn ich weiß welche anfälligen Programme/Treiber auf dem System Installiert sind kann ich aktiv ein Update durchführen.