Analýza ranitelnosti ovladačů jádra Windows

Zranitelnost ovladačů jádra systému Windows dlouhodobě zneužívají vývojáři malwaru i kybernetičtí útočníci po celém světě - týká se to uživatelů i v České republice. Nejnovější analýza má pomoci dodavatelům softwarových řešení a IT specialistům v boji proti těmto hrozbám.

Bezpečnostní specialisté z českého výzkumného oddělení společnosti ESET představili nejnovější zjištění v dlouhodobém výzkumu, který mapuje techniky průniků do operačního systému Windows prostřednictvím digitálně podepsaných ovladačů jádra systému.

V rámci operačního systému Microsoft Windows existují různé typy těchto ovladačů, a zatímco ovladače samotného zařízení podléhají přísnému procesu vývoje s důrazem na bezpečnost, u softwarových ovladačů - např. pro diagnostická data, je situace jiná.

Mnohé z nich obsahují známé zranitelnosti a jsou proto aktivně využívány tvůrci škodlivého kódu a kybernetickými útočníky.

"Ovladače v operačním systému Windows musí být digitálně podepsané certifikátem. Tím se výrazně zvyšuje zabezpečení systému, protože je nejde pozměnit ani vyměnit. Bohužel i toto zabezpečení mohou útočníci zneužít. Na základě dlouhodobého sledování známe případy ovladačů, které jsou sice podepsané, ale jejich zranitelnosti dávají útočníkům možnost k průniku do systému. Dopady zranitelností ovladačů jádra systému Windows se mohou ze své podstaty dotýkat velkého množství uživatelů, a to i těch v Česku. Uživatelé jednoduše mohou používat specializované programy umožňující podvádění při hraní počítačových her nebo mít nainstalovaný starý ovládač k tiskárně, který je tímto způsobem zneužitelný. Výrobci software, které jsme na základě našich nálezů kontaktovali, byli neuvěřitelně aktivní a ochotně námi zjištěné nedostatky opravovali. Společnost Microsoft se sama zaměřuje na posílení operačního systému Windows zevnitř a v neposlední řadě se i dodavatelé bezpečnostních řešení snaží přijít s dalšími způsoby, jak takové ovladače odhalit a zmírnit tak dopady jejich zneužití," říká Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.

Podle bezpečnostních expertů využívají tyto zranitelnosti i tzv. APT skupiny pro cílené útoky na společnosti. APT neboli Advanced Persistent Threat je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů, např. za účelem kyberšpionáže.

Zranitelné ovladače jsou známým problémem a jsou zneužívány komunitou podvodníků při hraní počítačových her i autorů malwaru dlouhodobě. Naštěstí se zdá, že všechny odpovědné zúčastněné strany chtějí tento problém vyřešit.

Techniky útoku využívá celá řada aktérů, riziko platí i pro Česko

Aktuální zpráva poskytuje hlubší vhled do problematiky jádra systému Windows, zranitelností některých špatně implementovaných ovladačů a obranných strategií před jejich možným zneužitím. Bezpečnostním specialistům se podařilo odhalit zranitelnosti i ve třech dalších ovladačích, které byly do té doby považovány za bezpečné.

Mezi úspěšné metody průniku do systému patří např. i šíření zranitelného ovladače. Tato technika je známá pod označením BYOVD, které je zkratkou anglického termínu Bring Your Own Vulnerable Driver.

Technika BYOVD byla využita například při útocích APT skupin Slingshot či InvisiMole, rodiny ransomwaru RobbinHood nebo prvního UEFI rootkitu LoJax.