Secondo Crowdstrike, gli EDR (Endpoint Detection and Response) sono nel mirino di attacchi BYOVD (Bring Your Own Vulnerable Driver). Gli hacker hanno imparato a bypassare i controlli delle suite di sicurezza sfruttando vecchi driver Intel.
“Negli attacchi BYOVD”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “gli attori delle minacce sfruttano le vulnerabilità in driver legittimi e firmati, utilizzati da soluzioni di sicurezza, per ottenere l’esecuzione di codice malevolo in modalità kernel e disabilitare le soluzioni di difesa”.
Ecco come difendersi dalla nuova tattica del threat actor Scattered Spider.
Indice degli argomenti
Suite EDR nel mirino degli attacchi BYOVD
Scattered Spider è un gruppo cyber crime che agisce con motivazioni finanziarie. Ha tentato di sfruttare gli Ethernet diagnostics driver di Intel in un attacco BYOVD per evadere il rilevamento da parte dei prodotti di sicurezza EDR (Endpoint Detection and Response). La tecnica BYOVD coinvolge gli hacker usando un driver kernel-mode, noto per essere vulnerabile agli exploit. Oltre che ad attacchi in grado di scalare i privilegi su Windows.
La falla è la CVE-2015-2291. I device driver hanno accesso ai kernel del sistema operativo. Le falle a rischio exploit permettono dunque ai cyber criminali di eseguire codice arbitrario con i privilegi più elevati su Windows, attraverso chiamate fake. Secondo l’ultimo report di Crowdstrike, gli hacker hanno tentato di usare il metodo BYOVD per aggirare: Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR e SentinelOne.
“La tecnica è nota da almeno un paio di anni”, spiega Paganini, “nel giugno 2020 il gruppo InvisiMole ha utilizzato una catena di exploit nota come Speedfan per sfruttare una vulnerabilità di escalation dei privilegi locali nel driver speedfan.sys per iniettare il suo codice in un eseguito in modalità kernel”. Dunque è una “tecnica estremamente efficace e quest’ultimo attacco dimostra che sebbene sia non semplice da attuare un numero crescente di attaccanti comincia ad utilizzarla”, evidenzia l’esperto di cybersecurity. “In passato anche alcune gang ransomware come AvosLocker ed aziende che sviluppano software di sorveglianza, come l’israeliana Candiru, hanno utilizzato la tecnica BYOVD”, afferma Paganini.
La vulnerabilità era già stata risolta nel 2015. Ma gli attaccanti sono in grado di sfruttare la falla in una versione più vecchia su dispositivi con breach. Scattered Spider ha usato un piccolo kernel driver da 64-bit con 35 funzionalità. Esso è firmato da differenti certificati rubati da Nvidia e Global Software LLC. Dunque Windows non può bloccarlo.
Gli attaccanti usano questi driver per disabilitare i prodotti di sicurezza endpoint. Lo scopo è limitare le capacità di visibilità e prevenzione, lasciando campo aperto ad eventuali attacchi ai network.
I driver decriptano una string codificata di prodotti di sicurezza nel mirino e applicano le patch ai driver a offset codificati. La routine del malware iniettato assicura che i driver dei software di sicurezza continuino ad apparire funzionanti in maniera normale, sebbene abbiano cessato di proteggere il computer.
EDR e XDR
Evoluzione degli EDR sono le soluzioni di sicurezza XDR (eXtended Detection and Response), i sistemi integrate per il controllo non solo degli endpoint, ma anche dei gateway (di posta elettronica, servizi cloud ed accessi). Agevolano il lavoro dei team di sicurezza nell’individuare le minacce di cyber security più raffinate o nascoste, nel tracciare e monitorare le minacce su più componenti di sistema e lo schema congiunto di minaccia strutturale, nell’accelerare rilevamento e risposta e nel rendere più efficaci le indagini sulle cyber minacce.
Come proteggersi
“Per prevenire gli attacchi BYOVD”, spiega Paganini, “occorre tener presente che gli attaccanti di solito sfruttano vulnerabilità ben note nei driver utilizzati, per questo motivo tenendo traccia degli ultimi problemi di sicurezza è possibile bloccare i driver noti per essere vulnerabili“
Nel 2021 Microsoft ha infatti introdotto una blocklist, per risolvere alcune problematiche. Tuttavia Windows non ha bloccato questi driver di default fino al rilascio di Windows 11 nel settembre 2022. Microsoft raccomanda agli utenti di Windows di attivare la blocklist dei driver per proteggersi dagli attacchi BYOVD. Infine è possibile abilitare la funzionalità Windows Memory Integrity o Windows Defender Application Control (WDAC). Tuttavia non è semplice attivare Memory Integrity sui dispositivi che hanno nuovi driver.
Ma “è buona norma tenere sempre traccia dei driver installati sui nostri sistemi e mantenerli aggiornati“, conclude Paganini.
