Gli esperti di Sophos hanno scoperto che il gruppo BlackByte sfrutta le vulnerabilità di driver legittimi per aggirare la protezione degli antivirus e distribuire l’omonimo ransomware. Questa tecnica, nota come BYOVD (Bring Your Own Vulnerable Driver) diventa sempre più popolare tra i cybercriminali, come hanno evidenziato i ricercatori di ESET e Trend Micro.
Attacco ransomware tramite bug di MSI Afterburner
La vulnerabilità, identificata con CVE-2019-16098, era presente nei driver RTCore64.sys
e RTCore32.sys
del tool MSI Afterburner utilizzato per l’overclock delle GPU. Il bug permette di ottenere privilegi di amministratore ed eseguire codice arbitrario.
Il gruppo BlackByte ha sfruttato la vulnerabilità dei driver per accedere in lettura e scrittura alla memoria del kernel e disattivare oltre 1.000 driver installati dalle soluzioni di sicurezza per proteggere il computer. I dettagli tecnici dell’attacco sono descritti sul sito di Sophos.
Usando la tecnica BYOVD ci sono maggiori probabilità di avere successo, in quanto i driver vulnerabili sono firmati con un certificato legittimo e sono eseguiti sul sistema con elevati privilegi.
Ovviamente la soluzione più ovvia è installare le versioni aggiornate dei driver. In alcuni casi è consigliato aggiungere i driver vulnerabili alla blocklist. La tecnica BYOVD è stata sfruttata per installare un ransomware mediante un driver del sistema anti-cheat di Genshin Impact e un rootkit mediante un driver di Dell.