技嘉舊驅動程式漏洞遭濫用感染勒索軟體

 

CISA

,技嘉的Windows驅動程式多項舊漏洞發生濫用情形。安全廠商則發現,是被用以感染勒索軟體。

根據CISA周二公告的已知遭濫用漏洞清單,遭到濫用的技嘉產品漏洞包括CVE-2018-19320、CVE-2018-19321、CVE-2018-19322及CVE-2018-19323。

這項公告之前,,攻擊者傳送包含有漏洞技嘉驅動程式GDrv的EXE檔。一旦用戶下載,就會將漏洞驅動程式安裝到Windows System資料夾,再以其載入惡意驅動程式於Windows核心中。之後會尋找賽門鐵克防毒行程,再將之關閉,最後感染不知名的勒索軟體。

GDrv是技嘉2020年5月修補的漏洞驅動程式之一。當時技嘉修補的4項漏洞中,GDrv低階驅動程式全部都有。其中CVE-2018-19320出在原因是曝露ring0 memcpy函式,可讓本地攻擊者得以取得設備控制權。

CVE-2018-19321和CVE-2018-19322則是影響GPCIDrv和GDrv兩項驅動程式,前者可讓本地攻擊者升級其權限,而得以在技嘉產品中讀寫任意實體記憶體。後者則允許攻擊者從I/O傳輸埠讀寫資料,也能用於擴大權限、而利用多種方法執行程式碼。CVE-2018-19320到CVE-2018-19322三漏洞風險值皆為7.8。

GPCIDrv及GDrv驅動程式另一項漏洞CVE-2018-19323,可讓本地攻擊者擴大其權限以讀寫實體記憶體。風險值高達9.8。

。攻擊者利用這批漏洞在受害裝置上散布勒索軟體Robbinhood。

針對本月的最新攻擊,研究人員指出,一般64-bit Windows電腦可以驅動程式簽章執行(driver signature enforcement)來確保只有合法驅動程式可以安裝到Windows核心中。但這起攻擊,則是利用GDRV.sys驅動程式已獲得簽章,但卻有權限擴充漏洞這點攻擊Windows用戶,而且過程中防毒軟體皆未被觸動發出警示。

Windows有將GDRV驅動程式列為封鎖清單,但是沒有提供hash sum。因此用戶防範攻擊的最好方法是儘速更新驅動程式。

https://www.ithome.com.tw/news/153827