Windows Driver Signature Enforcement è una funzionalità di protezione del kernel di Windows. Ma anche questa forma di sicurezza ha una falla. E così, anche se si è trattato solo di un proof of concept condotto dal team di sicurezza di una società di gaming (Endgame) nel corso di un evento Black Hat, la nuova tecnica di attacco fileless ha fatto notizia.
Attacchi fileless e land attack
Intanto è necessaria una premessa: un attacco fileless spesso non è davvero fileless. Il fatto che il malware fileless non coinvolga l’installazione di alcun file sull’hard disk e che gli antivirus tradizionali non siano in grado di rilevare la minaccia è solo una faccia della medaglia. L’altra faccia è che gli hacker possono usare le tecniche del land attack, andando a utilizzare le risorse e i tool presenti nativamente nel sistema operativo come strumenti di attacco. Dal momento che queste componenti generalmente non compaiono nelle whitelist dall’antivirus, succede così che passino facilmente inosservate, minando la sicurezza dall’interno.
Un equivoco sugli attacchi fileless è che un file debba essere necessariamente presente sul sistema locale affinché possa essere eseguito sull’endpoint. Ad esempio, Windows ha funzionalità integrate che consentono di eseguire o caricare un file sulla rete. Questo può avvenire anche se il file non è su un’unità mappata e questa funzionalità va a includere applicazioni importanti e legittime, compresa la gestione del software da una posizione centrale nonché la distribuzione di aggiornamenti software.
Windows Driver Signature Enforcement violato
La tecnica utilizzata nel POC ignora la funzionalità di protezione Windows Driver Signature Enforcement. Come viene sferrato l’attacco?
I ricercatori di sicurezza di Endgame hanno trovato un modo per caricare un driver Windows vulnerabile, utilizzando l’estensione del protocollo di Web Distributed Authoring e Versioning per HTTP da un sistema remoto.
Le versioni di Windows da Vista includono le protezioni dei criteri tramite Windows Driver Signature Enforcement, il che consente solo il caricamento dei driver certificati digitalmente (signed driver), proteggendo così il kernel di Windows. Una volta che gli attaccanti hanno ottenuto l’accesso al kernel, però, possono ignorare la maggior parte delle altre protezioni in esecuzione sul sistema.
Analogamente, alcuni driver firmati presentano vulnerabilità che consentono a un utente malintenzionato di accedere al kernel. I ricercatori di sicurezza di Endgame hanno utilizzato una vulnerabilità presente in un driver per eseguire codice sull’endpoint e così riuscire a caricare il malware nel kernel, riuscendo a prendere il pieno possesso del dispositivo.
