2020/02/10

Ransomware RobbinHood usa driver vulnerável para infectar sistema


Investigadores de segurança descobriram que o ransomware RobbinHood usa uma técnica bastante criativa para se apoderar de um sistema, instalado um driver legítimo da Gigabyte que contém uma vulnerabilidade conhecida, para daí conseguir controlo completo da máquina.

Infectar um sistema operativo moderno não é tão fácil quanto se possa pensar. São muitos os sistemas de segurança e defesa que lutam contra potenciais "infecções". Mas, são também muitas as tácticas que vão sendo desenvolvidas para tentar contornar essas defesas.

No caso do ransomware RobbinHood, se o mesmo determinar que não consegue infectar o sistema para levar a cabo o seu ataque, a táctica utilizada consiste na instalação de um driver legítimo (mas já desactualizado) da Gigabyte que o sistema aceitará sem qualquer contra-indicação. O problema é que esse driver contém uma vulnerabilidade conhecida, e através dela o ransomware consegue obter total controlo sobre a máquina, desactivando os sistemas de segurança e avançando com a encriptação dos dados.

Este caso vem demonstrar que não bastará confiar na instalação de drivers legítimos (e existem outros, de outros fabricantes, também com vulnerabilidades conhecidas), mas também repensar se não será necessário arranjar forma de impedir a instalação de drivers que, mesmo sendo legítimos, contenham este tipo de falhas.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]