I ricercatori di Mandiant, SentinelOne e Sophos hanno scoperto che alcuni driver firmati da Microsoft sono stati utilizzati per distribuire malware. L’azienda di Redmond ha prontamente sospeso gli account WHDP, revocato i certificati e aggiornato Microsoft Defender per bloccare eventuali exploit.
Attacchi BYOVD con driver Windows
I driver di Windows sono eseguiti con i privilegi più elevati, pertanto è necessario ottenere un certificato (firma digitale) che conferma l’autenticità. Gli sviluppatori devono rispettare i requisiti del Windows Hardware Quality Labs (WHQL), ovvero acquistare un certificato Extended Validation (EV) attraverso la registrazione al Windows Hardware Developer Program (WHDP). Se supera i test di compatibilità e sicurezza, il driver riceve il certificato Windows Hardware Compatibility Publisher (WHCP).
Quasi tutte le soluzioni di sicurezza non bloccano i driver firmati da Microsoft, in quanto considerati sicuri. Ciò permette ai cybercriminali di effettuare attacchi BYOVD (Bring Your Own Vulnerable Driver), sfruttando le vulnerabilità dei driver per installare malware sul computer.
I ricercatori di Mandiant, SentinelOne e Sophos ha individuato un toolkit composto da STONESTOP (loader) e POORTRY (driver) che consente di disattivare gli antivirus e distribuire i malware. In particolare, il loader STONESTOP carica in memoria il driver POORTRY firmato con un certificato Microsoft. Il toolkit è stato utilizzato per installare i ransomware Cuba e Hive, oltre che per attacchi di SIM swapping.
Microsoft ha revocato i certificati, sospeso gli account WHDP usati per ottenere la firma dei driver e aggiornato Defender. L’azienda di Redmond consiglia inoltre di installare le ultime patch di sicurezza tramite Windows Update.