Existují případy ovladačů, které jsou sice podepsané, ale jejich zranitelnosti dávají útočníkům možnost k průniku do systému.
Nová studie, kterou bezpečnostní specialisté ze společnosti ESET vydali v rámci dlouhodobého výzkumu zranitelnosti ovladačů jádra systému Windows, nabízí kromě kompletního pohledu na tuto problematiku a popisu nejčastějších technik útoků i nová zjištění. Zranitelnost ovladačů jádra Windows je dlouhodobě zneužívaná vývojáři malwaru i kybernetickými útočníky po celém světě a týká se uživatelů i v České republice. Nejnovější analýza má pomoci dodavatelům softwarových řešení a IT specialistům v boji proti těmto hrozbám.
V rámci operačního systému Microsoft Windows existují různé typy těchto ovladačů, a zatímco ovladače samotného zařízení podléhají přísnému procesu vývoje s důrazem na bezpečnost, u „softwarových“ ovladačů, např. pro diagnostická data, je situace jiná. Mnohé z nich obsahují známé zranitelnosti, a jsou proto aktivně využívány tvůrci škodlivého kódu a kybernetickými útočníky.
„Ovladače v operačním systému Windows musí být digitálně podepsané certifikátem. Tím se výrazně zvyšuje zabezpečení systému, protože je nejde pozměnit ani vyměnit. Bohužel i toto zabezpečení mohou útočníci zneužít. Na základě dlouhodobého sledování známe případy ovladačů, které jsou sice podepsané, ale jejich zranitelnosti dávají útočníkům možnost k průniku do systému,“ uvádí Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.
Podle bezpečnostních expertů využívají tyto zranitelnosti i tzv. APT skupiny pro cílené útoky na společnosti. Advanced Persistent Threat je v tomto případě označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů, například za účelem kyberšpionáže.
Aktuální zpráva poskytuje hlubší vhled do problematiky jádra systému Windows, zranitelností některých špatně implementovaných ovladačů a obranných strategií před jejich možným zneužitím. Bezpečnostním specialistům se podařilo odhalit zranitelnosti i ve třech dalších ovladačích, které byly do té doby považovány za bezpečné.
„Mezi úspěšné metody průniku do systému patří například i šíření zranitelného ovladače. Tato technika je známá pod označením BYOVD, které je zkratkou anglického termínu Bring Your Own Vulnerable Driver. Technika BYOVD byla využita například při útocích APT skupin Slingshot či InvisiMole, rodiny ransomwaru RobbinHood nebo prvního UEFI rootkitu LoJax,“ vysvětluje R. Šuman „Dopady zranitelností ovladačů jádra systému Windows se mohou ze své podstaty dotýkat velkého množství uživatelů, a to i těch v Česku. Uživatelé jednoduše mohou používat specializované programy umožňující podvádění při hraní počítačových her nebo mít nainstalovaný starý ovládač k tiskárně, který je tímto způsobem zneužitelný.