VS waarschuwt voor lekken in Gigabyte-drivers gebruikt door ransomware

[Captain Kirk]

Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, heeft een waarschuwing gegeven voor vier oude kwetsbaarheden in drivers van moederbordfabrikant Gigabyte waarmee lokale aanvallers volledige controle over systemen kunnen krijgen. Begin dit jaar meldde antivirusbedrijf Sophos al dat één van de kwetsbaarheden bij ransomware-aanvallen werd gebruikt.

De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten.

De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en MSI AfterBurner bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu waarschuwt het CISA ook voor misbruik van Gigabyte-drivers. Details over de aanvallen zelf zijn niet gegeven.

De vier kwetsbaarheden (CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 en CVE-2018-19323) werden in 2018 gerapporteerd. Destijds ontkende Gigabyte dat de eigen producten kwetsbaar waren, maar kwam daar later op terug. Zodra aanvallers toegang tot een systeem hebben installeren ze de drivers om hun rechten te verhogen. Het CISA verzoekt nu federale overheidsinstanties die van de betreffende drivers gebruikmaken om de beveiligingsupdates hiervoor te installeren. Die werden op 18 mei 2020 door Gigabyte uitgebracht.

 

bron: https://www.security.nl