Az aláírt illesztőprogramok sebezhetőségét többnyire a játékcsaló fejlesztők használják a csalás elleni mechanizmusok megkerülésére, de azt is megfigyelték, hogy számos APT csoport és a rosszindulatú szoftver – malware – programokban is egyaránt használják őket.
A videojátékok csaló kódjainak használata során a felhasználó számítógépét kibertámadások kockázatának teheti ki. Az aláírt illesztőprogramok sebezhetőségét nemcsak a játékcsaló fejlesztők használják a csalásvédelmi mechanizmusok megkerülésére, hanem az APT csoportok is.

Az ESET szakértői elemezték a kernel-illesztőprogramokban általában megtalálható sebezhetőségek típusait, és számos sebezhető illesztőprogramot találtak a népszerű játékszoftverekben.

A nem hozzárendelt illesztőprogramok vagy a biztonsági résekkel rendelkező illesztőprogramok gyakran a Windows kernel nem biztonságos átjárójává válhatnak a támadók számára. íg a 11-es és Windows 10 rendszerben az ártó szándékkal aláíratlan illesztőprogram közvetlen letöltése már nem lehetséges, és a rootkitek a múlté, még mindig vannak módok rosszindulatú kódok betöltésére a Windows kernelbe, különösen a törvényes aláírt illesztőprogramok rosszindulatú használatával.


A hardver- és szoftvergyártók számos illesztőprogramot kínálnak, amelyek minimális erőfeszítéssel teljes hozzáférést biztosítanak a kernelhez. A vizsgálat során az ESET sebezhetőségeket fedezett fel az AMD μProf profilszoftverben, a népszerű Passmark teljesítménytesztelő eszközben és a PC Analyzer rendszer segédprogramjában. Az összes érintett program fejlesztői javításokat adtak ki a biztonsági rések kezelésére, miután az ESET kapcsolatba lépett velük. A kiberbűnözők és a támadók által a Windows kernelben rosszindulatú kódok futtatására használt gyakori módszer az úgynevezett Bring Your Own Vulnerable Driver (BYOVD).

"Amikor a rosszindulatú programoknak rosszindulatú kódot kell futtatniuk a Windows kernelben az x64-alapú rendszereken az illesztőprogram-aláírással, a sebezhető aláírt kernel-illesztőprogram elfogadható lehetőségnek tűnik erre. Ezt a módszert Bring Your Own Vulnerable Driver néven ismerik, byovd rövidítése, és úgy tűnik, hogy mind a high-end APT csoportok, mind a tömeges rosszindulatú programok valós támadásaiban használják" - magyarázta Kálnai Péter, az ESET vezető malware kutatója. A BYOVD-t használó támadók közé tartozik például a Slingshot APT csoport, amely kernel módú illesztőprogramként megvalósította a központi Cahnadr modult, valamint a kutatók által 2018-ban felfedezett InvisiMole APT csoport. RobinHood ransomware egy másik példa, amely egy sebezhető GIGABYTE alaplap-illesztőprogramot használ az illesztőprogram aláírásának ellenőrzésének letiltására és saját rosszindulatú illesztőprogramjának telepítésére.


https://www.welivesecurity.com/2022/01/11/signed-kernel-drivers-unguarded-gateway-windows-core/
https://www.securitylab.ru/news/528573.php