Hackers usan un controlador de Windows vulnerable para desactivar el antivirus

Hackers usan un controlador de Windows vulnerable para desactivar el antivirus

La compañía de seguridad Sophos advierte sobre un nuevo ataque de ransomware que utiliza un controlador Gigabyte vulnerable en un intento de entrar en un sistema Windows y luego deshabilitar el software de seguridad en ejecución.

El ataque se basa en una falla de seguridad encontrada en 2018 en un controlador Gigabyte y detallada en CVE-2018-19320 . El controlador, que ya ha sido abandonado después de que Gigabyte reconoció el error, permite a los actores maliciosos explotar la vulnerabilidad en un intento de obtener acceso a un dispositivo e implementar un segundo controlador cuyo propósito sería eliminar los productos antivirus.

"Este segundo controlador hace todo lo posible para eliminar los procesos y archivos que pertenecen a productos de seguridad de punto final, evitando la protección contra manipulaciones, para permitir que el ransomware ataque sin interferencia", explica Sophos .

"Esta es la primera vez que observamos que el ransomware envía un controlador de terceros cofirmado (pero vulnerable) de Microsoft para parchar el kernel de Windows en la memoria, cargar su propio controlador malicioso sin firmar y eliminar aplicaciones de seguridad del espacio del kernel".

El ransomware usado se llama RobbinHood y requiere que las víctimas paguen para desbloquear sus archivos. Si no pagan, dice la nota de rescate, el precio aumenta en $ 10,000 cada día.

El archivo ejecutable utilizado para explotar el controlador Gigabyte gdrv.sys se llama Steel.exe, y extrae un archivo llamado ROBNR.EXE en la carpeta temporal de Windows, que a su vez extrae dos controladores diferentes, uno desarrollado por Gigabyte (el vulnerable ) y otro utilizado para deshabilitar el software antivirus en el dispositivo comprometido. Una vez que se explota la vulnerabilidad, la ejecución de la firma del controlador de Windows está deshabilitada, lo que permite el lanzamiento del controlador malicioso.

Sophos dice que nada más que las prácticas comunes para permanecer seguro en los ataques de ransomware lo ayudan a bloquear la explotación, ya que incluso las computadoras completamente parcheadas sin vulnerabilidades conocidas pueden verse comprometidas.

Fecha actualización el 2021-02-07. Fecha publicación el 2020-02-07. Categoría: windows 10 Autor: Oscar olg Mapa del sitio Fuente: softpedia Version movil