PDA

View Full Version : Soluzione di sicurezza nuova fiammante? Bella, ma i cybercriminali la disabilitano. Una nuova scoperta di Sophos

Redazione di Hardware Upg
21-08-2024, 12:51
Link alla notizia: https://edge9.hwupgrade.it/news/security/soluzione-di-sicurezza-nuova-fiammante-bella-ma-i-cybercriminali-la-disabilitano-una-nuova-scoperta-di-sophos_129982.html

Sophos ha scoperto che almeno un gruppo di cybercriminali sta impiegando una tecnica per agire indisturbata piuttosto interessante: usando driver vulnerabili riesce a disabilitare la protezione data dalle soluzioni EDR

Click sul link per visualizzare la notizia.
Unrue
21-08-2024, 13:51
Sembra un piano perfetto, ma c'è un "ma": per poter installare il driver vulnerabile, i malintenzionati devono già aver ottenuto i privilegi amministrativi sulla macchina colpita.

Se hanno già accesso a tutto il sistema a cosa serve tutto questo? Non ho capito. Per nascondere il tutto e fare attacchi successivi?
Slater91
21-08-2024, 15:01
Se hanno già accesso a tutto il sistema a cosa serve tutto questo? Non ho capito. Per nascondere il tutto e fare attacchi successivi?

Alcune soluzioni EDR non consentono nemmeno ai profili amministratori di disabilitare la protezione, è necessario seguire procedure più complesse proprio per evitare che si possa disabilitarla facilmente. In alcuni casi, ad esempio, possono richiedere un riavvio (che verrebbe spesso notato), in altri un intervento da un pannello di controllo centralizzato. Usando il metodo scoperto da Sophos, semplicemente si terminano i processi legati alle soluzioni di sicurezza e di fatto le si arresta interamente.
Piedone1113
21-08-2024, 15:53
Alcune soluzioni EDR non consentono nemmeno ai profili amministratori di disabilitare la protezione, è necessario seguire procedure più complesse proprio per evitare che si possa disabilitarla facilmente. In alcuni casi, ad esempio, possono richiedere un riavvio (che verrebbe spesso notato), in altri un intervento da un pannello di controllo centralizzato. Usando il metodo scoperto da Sophos, semplicemente si terminano i processi legati alle soluzioni di sicurezza e di fatto le si arresta interamente.
Come alcuni?
Quale endpoint permette la disabilitazione da locale?

Probabilmente non vengono arrestati i processi, ma proprio non vengono avviati: in genere un kill dell'endpoint risulta nel pannello di controllo