Vulnerabilità in un vecchio driver Gigabyte: blocca l'antivirus e installa un ransomware

Vulnerabilità in un vecchio driver Gigabyte: blocca l'antivirus e installa un ransomware

I ricercatori di Sophos individuano e analizzano una tecnica di attacco che permette di installare malware disabilitando l'antivirus, il tutto passando da una vulnerabilità di un driver Gigabyte ancora in circolazione

di pubblicata il , alle 13:21 nel canale Sicurezza
SophosGigabyte
 

I ricercatori di sicurezza di Sophos hanno individuato due attacchi hacker diversi accomunati da una medesima tecnica e che, quindi, suggerisce la presenza della stessa mano dietro le quinte. Si tratterebbe di un gruppo hacker che sfrutta una vulnerabilità presente in un vecchio driver di schede madri Gigabyte per scardinare le difese di antivirus e antimalware e installare il ransomware RobbinHood, normalmente impiegato in attacchi mirati verso bersagli selezionati di alto valore, così che possa operare indisturbato.

Nella sua analisi Sophos descrive accuratamente la tecnica che si snoda in diversi passi:

-Il gruppo ottiene un accesso alla rete della vittima
-Installa il driver GDRV.SYS (legittimo, ma fallato)
-Sfrutta la vulnerabilità driver per ottenere accesso al kernel
-Usa l'accesso al kernel per disabilitare temporaneamente la richiesta di firma driver di Windows
-Installa un driver compromesso chiamato RBNL.SYS
-Usa questo driver per disabilitare o arrestare l'antivirus e altri prodotti di sicurezza presenti sul sistema bersaglio
-Esegue il ransomware RobbinHood per crittografare i file presenti sul sistema.

Questa tecnica, avverte Sophos, funziona su Windows 7, Windows 8 e Windows 10. La società di sicurezza addossa la responsabilità di questa situazione alla stessa Gigabyte e a Verisign: la tecnica infatti ha successo proprio per il modo in cui è stata gestita la vulnerabilità all'interno nel driver Gigabyte.

Il driver fa parte di un pacchetto software, ormai dismesso, che risale al 2018 e recante la vulnerabilità identificata dal codice CVE-2018-19320. Quando la vulnerabilità fu individuata e comunicata privatamente a Gigabyte, la società taiwanese decise di non riconoscere il problema e, senza emettere una patch correttiva, affermò che i suoi prodotti non erano affetti da alcuna vulnerabilità. Il rifiuto della compagnia di riconoscere il problema ha portato i ricercatori che hanno individuato la vulnerabilità a pubblicare apertamente le loro scoperte assieme ad un esempio, il cosiddetto codice proof-of-concpet, per sfruttare il punto debole. La pubblicazione di queste informazioni ha così offerto agli attaccanti un punto di partenza per sfruttare la vulnerabilità presente nel driver Gigabyte.

Incoscienza dei ricercatori di sicurezza? No, è la prassi comune che si segue in questi casi: si contatta privatamente l'interessato per comunicare il problema e, se questi nicchia, si procede con la divulgazione delle informazioni per costringere l'interessato a lavorare ad una soluzione. Ma anche in questo caso Gigabyte ha irresponsabilmente tirato dritto: anche con la pressione di dover risolvere la situazione, Gigabyte ha deciso di abbandonare l'uso del driver senza rilasciare alcuna patch.

Ed è qui che si configura il "concorso di colpa" con Verisign che avrebbe dovuto revocare il certificato del driver. "Verisign, il cui meccanismo di firma è stato usato per firmare digitalmente il driver, non ha revocato il certificato e quindi la firma Authenticode rimane valida" ha sottolineato Sophos, spiegando perché è possibile ancora oggi caricare in Windows driver deprecati e affetti da vulnerabilità note. Il driver, quindi, è ancora in circolazione e resta una minaccia.

Non c'è da sorprendersi, comunque, se questa tecnica verrà sfruttata e personalizzata anche da altri singoli o gruppi hacker per inserirla nel proprio arsenale offensivo. In ogni caso RobbinHood non è l'unico ransomware che sfrutta trucchetti per disabilitare o aggirare i prodotti di sicurezza. Altri sono ad esempio Snatch, che riavvia il PC in Safe Mode per disabilitare l'antivirus fin dall'inizio, e Nemty che arresta il processo dell'antivirus usando l'utility taskkill.

Anche i sistemi aggiornati, correttamente protetti e privi di vulnerabilità note possono soccombere a questo problema. Cosa si può fare, quindi, per prevenire? Dato che il primo passo dell'attacco è riuscire ad ottenere accesso alla rete dove si trova il sistema bersaglio, è imperativo adottare tutti gli accorgimenti necessari per evitare che i malintenzionati possano riuscire in questo intento. E qui valgono le "solite" best practice in ambito sicurezza: autenticazione a più fattori, password complesse, limitazione dei diritti di accesso e via discorrendo. Per prevenire i problemi derivanti da un'infezione ransomare vale poi il consiglio di fare backup regolari e conservarli adeguatamente, meglio se in un sistema scollegato dal resto della rete.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sicofante08 Febbraio 2020, 14:12 #1
Vedo che in Gigabyte il vizio non l'hanno perso.

Ai bei tempi di Windows XP mi sono trovato improvvisamente lo schermo blu, la cosiddetta schermata della morte.
Un caso? Noooo perchè periodicamente crashavo dopo un giorno e mezzo,
Inutile dirvi la mia disperazione e cosa comportava risolvere il problema.
Sostituzione delle RAM ed attesa se si ripeteva il problema, proseguendo poi con la CPU e poi la Mobo; terribile.
Su questo Forum la mia mobo Gigabyte godeva di ottima stampa e di un Thread ufficiale dedicato di appena 250 pagine; me le sono lette tutte.
La Death o BSoD era cercata dagli Overclokkoni che poi con sagaci tentativi abbassavano le frequenze dei componenti a cui tiravano il collo fino ad ottenere un risultato stabile.
Ed io che non overclokkavo nulla perchè meritavo tanta pena?
Una sera mentre piagnucoloso guardavo lo schermo in attesa dell'inevitabile Blue Screen aziono il Task Manager e vedo che ho la memoria occupata da un file bestione di oltre un Gb e quel che peggio era che il file aumentava di dimensione.
Con XP anche se avevo 6Gb di Ram ne vedevo solo 3Gb e mezzo per cui c'era poco da scialare.
Il colpevole di tanta grazia?
Un fetente aggiornamento del Drive Utility della Mobo Gigabyte.
Siccome controllavo ogni respiro del mio PC avevo trovato che una Utility Gigabyte per Overclokkoni in erba proponeva tre livelli di innalzamento frequenze e faceva vedere il risultato con una bella grafica.
Roba insipida per i volponi dell'Overclock che mai avrebbero usato una simili banalità, carina invece per me perchè era un misto di CPU-Z, GPU-Z e similaria per cui la aprivo come test di controllo delle mie frattaglie Hardware.
L'ignobile aggiornamento era afflitto da Memory Leack ovvero mancato rilasco della memoria.
Se aprivo l'Utility per fare il guardone, alla chiusura non rilasciava la memoria che ingrassava al ritmo di 90Mb al minuto fino al Crash.
Ho tolto il programma con la varechina dal PC e rimesso il Drive Gigabyte precedente: tutto pefetto.
Segnalo a Gigabyte il problema e ... pensate abbiano fatto qualcosa tipo ritirare il Drive?
Assoltamente no.
Dopo un paio di mesi come da prassi periodica è arrivato un aggiornamento dei Drive tra cui quello dell'Utilty incriminata stavolta senza Memory Leack e la vecchia Utility non l'hanno neanche tolta per decenza dalla lista degli aggionamenti per cui la si poteva sempre scaricare tranquillamente.
Suini!
rob-roy08 Febbraio 2020, 14:44 #2
Sempre evitato Gigabyte negli anni e vedo che ho fatto bene.
Saturn08 Febbraio 2020, 16:19 #3
Originariamente inviato da: sicofante
Vedo che in Gigabyte il vizio non l'hanno perso.

Ai bei tempi di Windows XP mi sono trovato improvvisamente lo schermo blu, la cosiddetta schermata della morte.
Un caso? Noooo perchè periodicamente crashavo dopo un giorno e mezzo,
Inutile dirvi la mia disperazione e cosa comportava risolvere il problema.
Sostituzione delle RAM ed attesa se si ripeteva il problema, proseguendo poi con la CPU e poi la Mobo; terribile.
Su questo Forum la mia mobo Gigabyte godeva di ottima stampa e di un Thread ufficiale dedicato di appena 250 pagine; me le sono lette tutte.
La Death o BSoD era cercata dagli Overclokkoni che poi con sagaci tentativi abbassavano le frequenze dei componenti a cui tiravano il collo fino ad ottenere un risultato stabile.
Ed io che non overclokkavo nulla perchè meritavo tanta pena?
Una sera mentre piagnucoloso guardavo lo schermo in attesa dell'inevitabile Blue Screen aziono il Task Manager e vedo che ho la memoria occupata da un file bestione di oltre un Gb e quel che peggio era che il file aumentava di dimensione.
Con XP anche se avevo 6Gb di Ram ne vedevo solo 3Gb e mezzo per cui c'era poco da scialare.
Il colpevole di tanta grazia?
Un fetente aggiornamento del Drive Utility della mobo Gigabyte.
Siccome controllavo ogni respiro del mio PC avevo trovato che una Utility Gigabyte per Overclokkoni in erba proponeva tre livelli di innalzamento frequenze e faceva vedere il risultato con una bella grafica.
Roba insipida per i volponi dell'Overclock che mai avrebbero usato una simili banalità, carina invece per me perchè era un misto di CPU-Z, GPU-Z e similaria per cui la aprivo come test di controllo delle mie frattaglie Hardware.
L'ignobile aggiornamento era afflitto da Memory Leack ovvero mancato rilasco della memoria.
Se aprivo l'Utility per fare il guardone, alla chiusura non rilasciava la memoria che ingrassava al ritmo di 90Mb al minuto fino al Crash.
Ho tolto il programma con la varechina dal PC e rimesso il Drive Gigabyte precedente: tutto pefetto.
Segnalo a Gigabyte il problema e ... pensate abbiano fatto qualcosa tipo ritirare il Drive?
Assoltamente no.
Dopo un paio di mesi come da prassi periodica è arrivato un aggiornamento dei Drive tra cui quello dell'Utilty incriminata stavolta senza Memory Leack e la vecchia Utility non l'hanno neanche tolta per decenza dalla lista degli aggionamenti per cui la si poteva sempre scaricare tranquillamente.
Suini!


Non posso che quotare...a me mi hanno fatto "uscire pazzo" con i loro stramaledetti dual-bios, ai tempi degli Athlon XP - Barton...oltre ai tanti blue screen immotivati...adesso ne ho una socket 1366, è abbastanza stabile...sono migliorati ma c'è di meglio, decisamente !
Thalon08 Febbraio 2020, 21:45 #4
Verificato dopo che ho preso la scheda madre attuale (una Z97) che Gigabyte ha una semplice politica in fatto di assistenza: ti dà quei 18 mesi dal lancio in cui fa uscire update e poi basta e la chiude lì anche se restano cose buggate.
Non han neppure rilasciato in via ufficiale i nuovi update bios anti spectre/meltdown per la mia motherboard nonostante intel avesse rilasciato i microcode, ho dovuto contattare io l'assistenza e implorarli di farmi avere un bios beta (mentre gli altri produttori i bios ufficiali aggiornati li han rilasciati per le loro schede con lo stesso chipset che ha la mia).
Dovesse partirmi questa scheda possono scordarsi futuri miei acquisti di loro prodotti.
max_8008 Febbraio 2020, 22:29 #5
Originariamente inviato da: sicofante
Con XP anche se avevo 6Gb di Ram ne vedevo solo 3Gb e mezzo per cui c'era poco da scialare.


Ci credo che ne vedevi 3GB, con un Sistema operativo a 32bit non potevi certo vederne di più, la scheda madre Gigabyte non c'entra proprio nulla.
Se le tue conoscenze sono queste, prima di addossare tutte le colpe alla scheda madre Gigabyte mi farei qualche altra domanda.
canislupus09 Febbraio 2020, 00:20 #6
Originariamente inviato da: max_80
Ci credo che ne vedevi 3GB, con un Sistema operativo a 32bit non potevi certo vederne di più, la scheda madre Gigabyte non c'entra proprio nulla.
Se le tue conoscenze sono queste, prima di addossare tutte le colpe alla scheda madre Gigabyte mi farei qualche altra domanda.


Ad onor del vero... è esistito anche Windows Xp a 64 bit

https://it.wikipedia.org/wiki/Windows_XP_Professional_x64_Edition
sicofante09 Febbraio 2020, 03:56 #7
Originariamente inviato da: max_80
Ci credo che ne vedevi 3GB, con un Sistema operativo a 32bit non potevi certo vederne di più, la scheda madre Gigabyte non c'entra proprio nulla.
Se le tue conoscenze sono queste, prima di addossare tutte le colpe alla scheda madre Gigabyte mi farei qualche altra domanda.


Scusa amico mio ma sono un vecchione e ti ripeto quanto ho scritto.

1) Con XP il limite di memoria vista dal sistema era di circa 3,5 Gb qualunque fosse il quantitativo di RAM installata.
2) Il Memory Leack è la tragica conseguenza di un Programma mal ingegnerizzato.
3) ...
4) ...
5) ...
6) ...
7) ...
8) ...

PS:
Scusa se ti ho risposto sul privato imbrodandomi ed elencandoti il mio pedigree informatico; non è nel mio stile.
Ma vedi una cosa ho imparato in questo magnifico Forum.
Nascosti tra gli Utenti ci sono dei veri mostri, programmatori, tecnici di Reseller, manutentori Hardware a livelli elevatissimi, appassionati con competenze stratosferiche; gente che prende le mie poche conoscenze, ne fa una polpettina e se la mangia.
Ho quindi imparato a muovermi nei Thread con molta prudenza senza dare giudizi affrettati e con l'accetta; il rischio di sbattere contro un mostro è elevato.
Capisci cosa ti voglio dire?
Ciao sei un simpatico e rimani con noi, questo è il posto di elettronica più bello del WEB.
theboy09 Febbraio 2020, 16:05 #8
Originariamente inviato da: max_80
Ci credo che ne vedevi 3GB, con un Sistema operativo a 32bit non potevi certo vederne di più, la scheda madre Gigabyte non c'entra proprio nulla.
Se le tue conoscenze sono queste, prima di addossare tutte le colpe alla scheda madre Gigabyte mi farei qualche altra domanda.


fatti una camomilla, fanboy
canislupus09 Febbraio 2020, 18:14 #9
Originariamente inviato da: sicofante
S

1) Con XP il limite di memoria vista dal sistema era di circa 3,5 Gb qualunque fosse il quantitativo di RAM installata.


Perdonami se mi intrometto, ma XP a 64 Bit supportava (da specifiche) ben oltre i 4 GB.
Non metto in dubbio che i problemi da te evidenziati fossero in ogni caso dovuti ad un programma malconcepito dalla Gigabyte.
tallines09 Febbraio 2020, 18:18 #10
Originariamente inviato da: rob-roy
Sempre evitato Gigabyte negli anni e vedo che ho fatto bene.

Anch' io, per l' amor di Dio...............

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^