Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Meer dan 40 stuurprogramma’s kunnen hackers een permanente achterdeur op uw Windows-pc’s laten installeren

Cyber security + Cybercrime + Global news + Ransomware Envicom todayaugustus 11, 2019 58 1 5

Background
share close

Als u een apparaat of een hardwarecomponent bezit, die is gemaakt door ASUS, Toshiba, Intel, NVIDIA, Huawei of andere 15 andere leveranciers die hieronder worden vermeld, bent u waarschijnlijk in de problemen.

Een team van beveiligingsonderzoekers heeft beveiligingsrisico’s met een hoog risico ontdekt in meer dan 40 stuurprogramma’s van ten minste 20 verschillende leveranciers, waardoor aanvallers de meest bevoorrechte toestemming op het systeem kunnen krijgen en malware kunnen verbergen op een manier die na verloop van tijd onopgemerkt blijft, soms jarenlang .

Voor geavanceerde aanvallers is het handhaven van persistentie na het compromitteren van een systeem een ​​van de belangrijkste taken, en om dit te bereiken, spelen bestaande hardwarekwetsbaarheden soms een belangrijke rol.

Eén zo’n component is een apparaatstuurprogramma, algemeen bekend als een stuurprogramma of hardwaredriver, een softwareprogramma dat een bepaald type hardwareapparaat bestuurt, waardoor het op de juiste manier met het besturingssysteem van de computer kan communiceren.

Omdat apparaatstuurprogramma’s tussen de hardware en het besturingssysteem zelf zitten en in de meeste gevallen bevoorrechte toegang tot de OS-kernel hebben, kan een beveiligingszwakte in deze component leiden tot uitvoering van code in de kernellaag.

Deze privilege-escalatieaanval kan een aanvaller van gebruikersmodus (Ring 3) naar OS-kernelmodus (Ring 0) verplaatsen, zoals getoond in de afbeelding, waardoor ze een persistente achterdeur in het systeem kunnen installeren die een gebruiker waarschijnlijk nooit zou realiseren.

Windows driver hacken

Ontdekt door onderzoekers van het firmware- en hardwarebeveiligingsbedrijf Eclypsium, kunnen enkele van de nieuwe kwetsbaarheden willekeurig lezen / schrijven van kernelgeheugen, modelspecifieke registers (MSR’s), Control Registers (CR), Debug Registers (DR) en fysiek geheugen mogelijk maken .

“Al deze kwetsbaarheden stellen de bestuurder in staat om als een proxy te fungeren om zeer bevoorrechte toegang tot de hardwarebronnen uit te voeren, waardoor aanvallers de tools die worden gebruikt om een ​​systeem te beheren kunnen veranderen in krachtige bedreigingen die privileges kunnen escaleren en onzichtbaar op de host kunnen blijven bestaan, “verklaren de onderzoekers in hun rapport getiteld” Screwed Drivers. “

“Toegang tot de kernel kan een aanvaller niet alleen de meest bevoorrechte toegang tot het besturingssysteem geven, het kan ook toegang verlenen tot de hardware- en firmware-interfaces met nog hogere rechten zoals de systeem-BIOS-firmware.”

Aangezien malware die in de gebruikersruimte wordt uitgevoerd, eenvoudig naar een kwetsbaar stuurprogramma op de slachtoffercomputer kan scannen om het te compromitteren, hoeven aanvallers hun eigen kwetsbare stuurprogramma niet te installeren. Voor installatie is anders systeembeheerdersrechten vereist.

Alle kwetsbare stuurprogramma’s, zoals hieronder vermeld, die door de onderzoekers zijn ontdekt, zijn gecertificeerd door Microsoft.

  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

De lijst bevat ook nog drie hardwareleveranciers die onderzoekers nog niet hebben genoemd, omdat ze “nog steeds onder embargo zijn vanwege hun werk in sterk gereguleerde omgevingen en het langer zal duren om een ​​fix gecertificeerd en klaar te zijn voor implementatie bij klanten.”

“Sommige kwetsbare stuurprogramma’s werken samen met grafische kaarten, netwerkadapters, harde schijven en andere apparaten”, leggen onderzoekers uit. “Persistente malware in deze apparaten kan opgeslagen, weergegeven of verzonden gegevens via het netwerk lezen, schrijven of omleiden. Evenzo kunnen alle componenten worden uitgeschakeld als onderdeel van een DoS- of ransomware-aanval.”

Fouten in apparaatstuurprogramma’s kunnen gevaarlijker zijn dan andere kwetsbaarheden van applicaties, omdat een aanvaller toegang heeft tot de “negatieve” firmwareringen die onder het besturingssysteem liggen en persistentie op het apparaat behouden, zelfs als het besturingssysteem volledig opnieuw is geïnstalleerd, net als in het geval van LoJax-malware.

Onderzoekers hebben deze kwetsbaarheden gemeld aan de getroffen leveranciers, waarvan sommige, waaronder Intel en Huawei, al patchupdates hebben uitgebracht en een beveiligingsadvies hebben uitgegeven.

Daarnaast hebben onderzoekers ook beloofd binnenkort een script op GitHub uit te brengen dat gebruikers zou helpen wormgatdrivers te vinden die op hun systemen zijn geïnstalleerd, samen met proof-of-concept code, videodemonstraties en koppelingen naar kwetsbare drivers en tools.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *