Neredeyse iki yıl boyunca, Microsoft yetkilileri, müşterileri özellikle son aylarda etkili olan bir kötü amaçlı yazılım bulaşma tekniğine açık bırakan açıklanamayan bir gecikme olan önemli bir Windows savunmasını beceremedi.
Microsoft yetkilileri kararlı bir şekilde Windows Update’in kötü amaçlı yazılım bulaşmasıyla ilgili iyi bilinen bir numarayı engellemek için tasarlanmış bir engelleme listesine otomatik olarak yeni yazılım sürücüleri ekleyeceğini iddia etti. BYOVD olarak bilinen ve “kendi savunmasız sürücünüzü getirin” ifadesinin kısaltması olan kötü amaçlı yazılım tekniği, yönetici denetimine sahip bir saldırganın Windows çekirdek korumalarını atlamasını kolaylaştırır. Saldırgan, sıfırdan bir istismar yazmak yerine, bilinen güvenlik açıklarına sahip düzinelerce üçüncü taraf sürücüden herhangi birini yükler. Ardından saldırgan, Windows’un en güçlendirilmiş bölgelerinden bazılarına anında erişim sağlamak için bu güvenlik açıklarından yararlanır.
Ancak, Windows’un sürücü engelleme listesine güncellemeleri düzgün bir şekilde indirip uygulamadığı ve kullanıcıları yeni BYOVD saldırılarına karşı savunmasız bıraktığı ortaya çıktı.
Saldırılar arttıkça, Microsoft karşı önlemleri zayıflıyor
Sürücüler genellikle bilgisayarların yazıcılar, kameralar veya diğer çevresel aygıtlarla çalışmasına veya bilgisayar donanımının işleyişi hakkında analitik sağlamak gibi başka şeyler yapmasına izin verir. Birçok sürücünün çalışması için, en hassas kodun bulunduğu bir işletim sisteminin çekirdeği olan çekirdeğe doğrudan bir boru hattına ihtiyaçları vardır. Bu nedenle Microsoft, çekirdeği büyük ölçüde güçlendirir ve tüm sürücülerin denetlendiklerini ve güvenilir bir kaynaktan geldiklerini doğrulayan bir sertifika ile dijital olarak imzalanmasını gerektirir.
Ancak o zaman bile, meşru sürücüler bazen bellek bozulması güvenlik açıkları veya istismar edildiğinde bilgisayar korsanlarının kötü amaçlı kodlarını doğrudan çekirdeğe yönlendirmesine izin veren diğer ciddi kusurları içerir. Bir geliştirici güvenlik açığını düzelttikten sonra bile, eski, buggy sürücüleri zaten imzalanmış oldukları için BYOVD saldırıları için mükemmel adaylar olmaya devam ediyor. Bu tür bir sürücüyü bir kötü amaçlı yazılım saldırısının yürütme akışına ekleyerek, bilgisayar korsanları haftalarca süren geliştirme ve test süresinden tasarruf edebilir.
BYOVD, en az on yıldır hayatın bir gerçeği olmuştur. “Slingshot” olarak adlandırılan kötü amaçlı yazılım, en az 2012’den beri BYOVD’yi kullanıyor ve BYOVD sahnesine ilk girenler arasında LoJax, InvisiMole ve RobbinHood vardı.
Son birkaç yılda, bir dizi yeni BYOVD saldırısı gördük. Geçen yılın sonlarında böyle bir saldırı, Kuzey Kore hükümeti destekli Lazarus grubu tarafından gerçekleştirildi. Hollanda’daki bir havacılık şirketinin çalışanını ve Belçika’daki bir siyasi gazeteciyi hedef almak için yüksek düzeyde güvenlik açığına sahip hizmet dışı bırakılmış bir Dell sürücüsü kullandı.
Birkaç ay önce yapılan ayrı bir BYOVD saldırısında, siber suçlular, yaygın olarak kullanılan bir grafik kartı hız aşırtma aracı olan Micro-Star’ın MSI AfterBurner 4.6.2.15658’i için bir buggy sürücüsünü yükleyerek ve bundan yararlanarak BlackByte fidye yazılımını yükledi.
Temmuz ayında, bir fidye yazılımı tehdit grubu, çılgınca popüler oyun tarafından kullanılan, kullanımdan kaldırılmış bir hile karşıtı sürücü olan mhyprot2.sys sürücüsünü yükledi. Genshin Etkisi—Windows’a daha fazla girmek için sürücüdeki bir kod yürütme güvenlik açığından yararlanmaya devam eden hedefli saldırılar sırasında.
Bir ay önce, AvosLocker fidye yazılımını yayan suçlular, virüs taramasını atlamak için aynı şekilde savunmasız Avast anti-rootkit sürücüsü aswarpot.sys’i kötüye kullandı.
Tüm blog gönderileri, güvenlik firması Eclypsium’dan gelen bu gönderi ve ESET’ten en dikkate değer olanlar arasında olmak üzere, BYOVD saldırılarının artan örneklerini sıralamaya ayrılmıştır.
Microsoft, BYOVD tehdidinin kesinlikle farkındadır ve özellikle Windows’un imzalanmış ancak güvenlik açığı olan sürücüleri yüklemesini durduracak mekanizmalar oluşturarak bu saldırıları durdurmak için savunmalar üzerinde çalışmaktadır. Sürücü engelleme için en yaygın mekanizma, Hypervisor-Protected Code Integrity’nin kısaltması olan bellek bütünlüğü ve HVCI denilen şeyin bir kombinasyonunu kullanır. Kötü sürücülerin diske yazılmasını önlemek için ayrı bir mekanizma, ASR veya Saldırı Yüzeyi Azaltma olarak bilinir.
Ne yazık ki, her iki yaklaşım da amaçlandığı gibi işe yaramış gibi görünmüyor.