Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Windows Driver Signature Enforcement sotto attacco hacker

pittogramma Zerouno

TechTarget Tech InDepth

Windows Driver Signature Enforcement sotto attacco hacker

05 Apr 2019

di Laura Zanotti - Fonte TechTarget

Gli esperti della sicurezza hanno dimostrato come una nuova tecnica di attacco senza file può bypassare la protezione del kernel di Windows nel corso di un evento Black Hat. Anche se si è trattato di un POC, meglio sapere come funziona

Windows Driver Signature Enforcement è una funzionalità di protezione del kernel di Windows. Ma anche questa forma di sicurezza ha una falla. E così, anche se si è trattato solo di un proof of concept condotto dal team di sicurezza di una società di gaming (Endgame) nel corso di un evento Black Hat, la nuova tecnica di attacco fileless ha fatto notizia.

Attacchi fileless e land attack

Intanto è necessaria una premessa: un attacco fileless spesso non è davvero fileless. Il fatto che il malware fileless non coinvolga l’installazione di alcun file sull’hard disk e che gli antivirus tradizionali non siano in grado di rilevare la minaccia è solo una faccia della medaglia. L’altra faccia è che gli hacker possono usare le tecniche del land attack, andando a utilizzare le risorse e i tool presenti nativamente nel sistema operativo come strumenti di attacco. Dal momento che queste componenti generalmente non compaiono nelle whitelist dall’antivirus, succede così che passino facilmente inosservate, minando la sicurezza dall’interno.

Un equivoco sugli attacchi fileless è che un file debba essere necessariamente presente sul sistema locale affinché possa essere eseguito sull’endpoint. Ad esempio, Windows ha funzionalità integrate che consentono di eseguire o caricare un file sulla rete. Questo può avvenire anche se il file non è su un’unità mappata e questa funzionalità va a includere applicazioni importanti e legittime, compresa la gestione del software da una posizione centrale nonché la distribuzione di aggiornamenti software.

Windows Driver Signature Enforcement violato

La tecnica utilizzata nel POC ignora la funzionalità di protezione Windows Driver Signature Enforcement. Come viene sferrato l’attacco?

I ricercatori di sicurezza di Endgame hanno trovato un modo per caricare un driver Windows vulnerabile, utilizzando l’estensione del protocollo di Web Distributed Authoring e Versioning per HTTP da un sistema remoto.

Le versioni di Windows da Vista includono le protezioni dei criteri tramite Windows Driver Signature Enforcement, il che consente solo il caricamento dei driver certificati digitalmente (signed driver), proteggendo così il kernel di Windows. Una volta che gli attaccanti hanno ottenuto l’accesso al kernel, però, possono ignorare la maggior parte delle altre protezioni in esecuzione sul sistema.

Analogamente, alcuni driver firmati presentano vulnerabilità che consentono a un utente malintenzionato di accedere al kernel. I ricercatori di sicurezza di Endgame hanno utilizzato una vulnerabilità presente in un driver per eseguire codice sull’endpoint e così riuscire a caricare il malware nel kernel, riuscendo a prendere il pieno possesso del dispositivo.

Laura Zanotti - Fonte TechTarget
Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Argomenti trattati

Approfondimenti

D
Data Protection
H
hacker
Tech InDepth
Windows Driver Signature Enforcement sotto attacco hacker

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4