Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for driver

driver

Microsoft Menemukan Ransomware didalam Driver Windows

by

Microsoft telah mencabut beberapa akun pengembang perangkat keras Microsoft setelah driver yang masuk melalui profil mereka digunakan dalam serangan siber, termasuk insiden ransomware.

Berita tersebut datang dalam pengungkapan terkoordinasi antara Microsoft, Mandiant, Sophos, dan SentinelOne. Para peneliti menjelaskan bahwa pelaku ancaman menggunakan driver perangkat keras mode kernel berbahaya yang kepercayaannya telah diverifikasi dengan tanda tangan Authenticode dari Program Pengembang Perangkat Keras Windows Microsoft.

“Penyelidikan mengungkapkan bahwa beberapa akun pengembang untuk Pusat Mitra Microsoft terlibat dalam mengirimkan driver jahat untuk mendapatkan tanda tangan Microsoft.”

“Upaya baru untuk mengirimkan driver jahat untuk ditandatangani pada 29 September 2022, menyebabkan penangguhan akun penjual pada awal Oktober.”

Driver mode kernel

Hak istimewa dapat memungkinkan pengemudi untuk melakukan berbagai tugas jahat yang biasanya tidak diizinkan untuk aplikasi mode pengguna. Tindakannya termasuk menghentikan perangkat lunak keamanan, menghapus file yang dilindungi, dan bertindak sebagai rootkit untuk menyembunyikan proses lainnya.

Sejak Windows 10, Microsoft telah meminta driver perangkat keras mode kernel untuk ditandatangani melalui Program Pengembang Perangkat Keras Windows Microsoft.

Untuk alasan ini, kemampuan untuk menandatangani driver kernel-mode oleh Microsoft untuk digunakan dalam kampanye jahat adalah komoditas yang berharga.

Signing a driver via the Windows Hardware Compatibility Program
sumber: Mandiant

Toolkit digunakan untuk menghentikan perangkat lunak keamanan

Dalam laporan yang dirilis hari ini, para peneliti menjelaskan bagaimana mereka menemukan toolkit baru yang terdiri dari dua komponen bernama STONSTOP (loader) dan POORTRY (driver mode-kernel) yang digunakan dalam serangan “bawa driver rentan Anda sendiri” (BYOVD).

Karena proses perangkat lunak keamanan biasanya dilindungi dari gangguan oleh aplikasi biasa, STONESTOP memuat driver mode kernel POORTRY yang ditandatangani oleh Microsoft untuk menghentikan proses yang dilindungi terkait atau layanan Windows.

Pengemudi MISKIN ditandatangani oleh Microsoft
Sumber: BleepingComputer

Ditautkan ke ransomware dan penukar SIM
Ketiga perusahaan tersebut telah melihat perangkat yang digunakan oleh pelaku ancaman yang berbeda.

Namun, Sophos mengaitkan serangan ini dengan ‘kepercayaan tinggi’ dengan operasi ransomware Kuba, yang sebelumnya menggunakan varian malware ini.

Mandiant, di sisi lain, melihat aktor ancaman yang diidentifikasi sebagai UNC3944 menggunakan toolkit dalam serangan pada awal Agustus 2022, yang dikenal dengan serangan pertukaran SIM.

Baik Mandiant maupun SentinelOne percaya bahwa perangkat tersebut, atau setidaknya penandatanganan kode, berasal dari pemasok atau layanan yang dibayar oleh pelaku ancaman lain untuk mengaksesnya.

Tanggapan Microsoft
Microsoft telah meluncurkan pembaruan keamanan untuk mencabut sertifikat yang digunakan oleh file berbahaya dan telah menangguhkan akun yang digunakan untuk mengirimkan driver untuk ditandatangani.

Namun, Microsoft belum membagikan bagaimana driver jahat tersebut lolos dari proses peninjauan.

BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang proses penasehat dan peninjauan tetapi Microsoft mengatakan mereka tidak memiliki apa-apa lagi untuk dibagikan.

sumber : bleeping computer

NVIDIA merilis pembaruan driver GPU untuk memperbaiki 29 kerentanan

by

NVIDIA telah merilis pembaruan keamanan untuk driver tampilan GPU untuk Windows, yang berisi perbaikan untuk kelemahan tingkat tinggi yang dapat dieksploitasi oleh pelaku ancaman untuk melakukan, antara lain, eksekusi kode dan eskalasi hak istimewa.

Pembaruan keamanan terbaru membahas 25 kerentanan pada driver GPU Windows dan Linux, sementara tujuh kelemahan dikategorikan sebagai tingkat keparahan tinggi.

Dua kerentanan paling kritis adalah:

  • CVE-2022-34669 : Masalah pada lapisan mode pengguna driver Windows Nvidia yang dapat dimanfaatkan oleh penyerang yang tidak memiliki hak istimewa untuk mengakses atau memodifikasi code execution, privilege escalation, information disclosure, data tampering, dan denial of service.
  • CVE-2022-34671 : Masalah pada lapisan mode pengguna yang dieksploitasi dari jarak jauh pada driver GPU Windows yang memungkinkan pengguna biasa yang tidak memiliki hak untuk menyebabkan penulisan di luar batas, berpotensi menyebabkan eksekusi kode, eskalasi hak istimewa, pengungkapan informasi , perusakan data, dan penolakan layanan.

CVE-2022-34671 memiliki peringkat keparahan yang lebih rendah meskipun rentan terhadap serangan jaringan karena kompleksitasnya yang tinggi, membuat kemungkinan eksploitasinya kecil.

Namun, cacat CVE-2022-34669 lebih bermanfaat bagi peretas dan pengembang malware yang sudah memiliki akses ke perangkat Windows dan sedang mencari cara untuk meningkatkan hak istimewa mereka atau mengeksekusi kode.

Driver GPU dan perangkat keras berjalan dengan hak istimewa yang lebih tinggi di OS, jadi mengeksploitasi kerentanan pada driver memberikan hak istimewa tingkat tinggi yang sama untuk kode atau perintah jahat.

Mempertimbangkan popularitas produk NVIDIA, ada kemungkinan besar untuk menemukan driver GPU yang rentan pada komputer yang ditargetkan, memungkinkan penyerang mengeksploitasi kekurangan ini untuk mendapatkan hak istimewa yang lebih besar dan menyebar lebih jauh di jaringan.

Versi driver NVIDIA yang memperbaiki kerentanan ini adalah sebagai berikut:

Pengguna Linux harus berkonsultasi dengan tabel versi driver GPU ini sebagai gantinya:

Pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis dengan mengunduh versi driver terbaru yang tersedia untuk model GPU mereka dari pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

Sumber:

Driver utama Lenovo menimbulkan risiko keamanan bagi pengguna 25 model notebook

by

Lebih dari dua lusin model notebook Lenovo rentan terhadap peretasan berbahaya yang menonaktifkan proses boot aman UEFI dan kemudian menjalankan aplikasi UEFI yang tidak ditandatangani atau memuat bootloader yang secara permanen menutup perangkat.

Peneliti keamanan ESET juga mengungkapkan kerentanan, pembuat notebook merilis pembaruan keamanan untuk 25 model, termasuk ThinkPads, Yoga Slims, dan IdeaPads. Kerentanan yang merusak boot aman UEFI bisa serius karena memungkinkan penyerang untuk menginstal firmware berbahaya yang bertahan dari beberapa penginstalan ulang sistem operasi.

Unified Extensible Firmware Interface UEFI adalah perangkat lunak yang menjembatani firmware perangkat komputer dengan sistem operasinya. Sebagai bagian kode pertama yang dijalankan ketika hampir semua mesin modern dihidupkan, ini adalah tautan pertama dalam rantai keamanan.

Karena UEFI berada dalam chip flash pada motherboard, infeksi sulit untuk dideteksi dan dihilangkan. Tindakan umum seperti menghapus hard drive dan menginstal ulang OS tidak memiliki dampak yang berarti karena infeksi UEFI hanya akan menginfeksi ulang komputer setelahnya.

ESET mengatakan kerentanan—dilacak sebagai CVE-2022-3430, CVE-2022-3431, dan CVE-2022-3432—“memungkinkan penonaktifan UEFI Secure Boot atau memulihkan database Secure Boot default pabrik (termasuk dbx): semuanya hanya dari OS .” Boot aman menggunakan database untuk mengizinkan dan menolak mekanisme. Basis data DBX, khususnya, menyimpan hash kriptografi dari kunci yang ditolak. Menonaktifkan atau memulihkan nilai default dalam database memungkinkan penyerang menghapus batasan yang biasanya ada.

Menonaktifkan UEFI Secure Boot membebaskan penyerang untuk mengeksekusi aplikasi UEFI berbahaya, sesuatu yang biasanya tidak mungkin dilakukan karena boot aman memerlukan aplikasi UEFI untuk ditandatangani secara kriptografis.

Memulihkan DBX default pabrik, sementara itu, memungkinkan penyerang memuat bootloader yang rentan. Pada bulan Agustus, peneliti dari perusahaan keamanan Eclypsium mengidentifikasi tiga driver perangkat lunak terkemuka yang dapat digunakan untuk mem-bypass boot aman ketika penyerang memiliki hak yang lebih tinggi, yang berarti administrator di Windows atau root di Linux.

Kerentanan dapat dieksploitasi dengan mengutak-atik variabel di NVRAM, RAM non-volatil yang menyimpan berbagai opsi boot. Kerentanan adalah hasil dari Lenovo keliru mengirimkan Notebook dengan driver yang dimaksudkan untuk digunakan hanya selama proses pembuatan. Kerentanannya adalah:

  • CVE-2022-3430: Potensi kerentanan dalam driver Pengaturan WMI pada beberapa perangkat Notebook Lenovo konsumen dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan mengubah variabel NVRAM.
  • CVE-2022-3431: Potensi kerentanan pada driver yang digunakan selama proses pembuatan pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan mengubah variabel NVRAM.
  • CVE-2022-3432: Potensi kerentanan pada driver yang digunakan selama proses pembuatan pada Ideapad Y700-14ISK yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan menyesuaikan variabel NVRAM.

Lenovo hanya menambal dua yang pertama. CVE-2022-3432 tidak akan ditambal karena perusahaan tidak lagi mendukung Ideapad Y700-14ISK, model notebook akhir masa pakai yang terpengaruh.

Sumber: Arstechnica

Bagaimana kesalahan Microsoft membuka jutaan PC untuk serangan malware yang kuat

by

Selama hampir dua tahun, Microsoft merusak pertahanan utama Windows yang membuat pelanggan terbuka terhadap teknik infeksi malware yang sangat efektif dalam beberapa bulan terakhir.

Microsoft dengan tegas menegaskan bahwa Pembaruan Windows akan secara otomatis menambahkan driver perangkat lunak baru ke daftar blokir yang dirancang untuk menggagalkan trik terkenal di buku pedoman infeksi malware.

Teknik malware dikenal sebagai BYOVD, kependekan dari “bawa driver Anda sendiri yang rentan” memudahkan penyerang dengan kontrol administratif untuk melewati perlindungan kernel Windows. Penyerang hanya menginstal salah satu dari lusinan driver pihak ketiga dengan kerentanan yang diketahui. Kemudian penyerang mengeksploitasi kerentanan tersebut untuk mendapatkan akses instan ke beberapa wilayah Windows yang paling dibentengi.

Namun, ternyata Windows tidak mengunduh dan menerapkan pembaruan dengan benar ke daftar blokir driver, yang membuat pengguna rentan terhadap serangan BYOVD baru.

Driver biasanya memungkinkan komputer untuk bekerja dengan printer, kamera, atau perangkat periferal lainnya—atau untuk melakukan hal lain seperti menyediakan analisis tentang fungsi perangkat keras komputer. Agar banyak driver dapat bekerja, mereka memerlukan saluran langsung ke kernel, inti dari sistem operasi tempat kode paling sensitif berada. Untuk alasan ini, Microsoft sangat membentengi kernel dan mengharuskan semua driver ditandatangani secara digital dengan sertifikat yang memverifikasi bahwa mereka telah diperiksa dan berasal dari sumber tepercaya.

Meski begitu, bagaimanapun, driver yang sah terkadang mengandung kerentanan kerusakan memori atau kelemahan serius lainnya yang, ketika dieksploitasi, memungkinkan peretas untuk menyalurkan kode berbahaya mereka langsung ke kernel. Bahkan setelah pengembang menambal kerentanan, driver lama dan buggy tetap menjadi kandidat yang sangat baik untuk serangan BYOVD karena sudah ditandatangani. Dengan menambahkan driver semacam ini ke alur eksekusi serangan malware, peretas dapat menghemat waktu pengembangan dan pengujian selama bermingguminggu.

YOVD telah menjadi fakta kehidupan setidaknya selama satu dekade. Malware yang dijuluki “Slingshot” menggunakan BYOVD setidaknya sejak 2012, dan pendatang awal lainnya ke adegan BYOVD termasuk LoJax, InvisiMole, dan RobbinHood.

Salah satu serangan semacam itu akhir tahun lalu dilakukan oleh kelompok Lazarus yang didukung pemerintah Korea Utara. Itu menggunakan driver Dell yang dinonaktifkan dengan kerentanan tingkat tinggi untuk menargetkan karyawan perusahaan kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Dalam serangan BYOVD terpisah beberapa bulan lalu, penjahat dunia maya memasang ransomware BlackByte dengan menginstal dan kemudian mengeksploitasi driver buggy untuk MSI AfterBurner 4.6.2.15658 MicroStar, sebuah utilitas overclocking kartu grafis yang banyak digunakan.

Microsoft sangat menyadari ancaman BYOVD dan telah bekerja pada pertahanan untuk menghentikan serangan ini, terutama dengan membuat mekanisme untuk menghentikan Windows memuat driver yang ditandatangani tetapi rentan.

Mekanisme paling umum untuk pemblokiran driver menggunakan kombinasi dari apa yang disebut integritas memori dan HVCI, kependekan dari HypervisorProtected Code Integrity. Mekanisme terpisah untuk mencegah driver buruk ditulis ke disk dikenal sebagai ASR, atau Attack Surface Reduction.

Sumber: Arstechnica

Bug driver firmware Lenovo UEFI memengaruhi lebih dari 100 model laptop

by

Lenovo telah menerbitkan nasihat keamanan tentang kerentanan yang berdampak pada Unified Extensible Firmware Interface (UEFI) yang dimuat pada setidaknya 100 model laptopnya.

Total tiga masalah keamanan ditemukan, dua di antaranya memungkinkan penyerang untuk menonaktifkan perlindungan untuk chip memori flash SPI tempat firmware UEFI disimpan dan untuk mematikan fitur UEFI Secure Boot, yang memastikan sistem dimuat hanya saat boot. kode yang dipercaya oleh Original Equipment Manufacturer (OEM).

Eksploitasi yang berhasil dari yang ketiga, yang diidentifikasi sebagai CVE-2021-3970, dapat memungkinkan penyerang lokal untuk mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi.

Ketiga kerentanan ditemukan oleh peneliti ESET dan dilaporkan secara bertanggung jawab kepada Lenovo pada Oktober tahun lalu. Mereka memengaruhi lebih dari 100 model laptop konsumen, termasuk IdeaPad 3, Legion 5 Pro-16ACH6 H, dan Yoga Slim 9-14ITL05, yang kemungkinan berarti jutaan pengguna dengan perangkat yang rentan.

Para peneliti di ESET memperingatkan bahwa dua kerentanan terkait UEFI (CVE-2021-3971 dan CVE-2021-3972) dapat digunakan oleh penyerang untuk “menyebarkan dan berhasil mengeksekusi flash SPI atau implan ESP.”

Kedua masalah keamanan terkait UEFI dalam produk Lenovo dihasilkan dari pengenalan dua driver firmware UEFI ke dalam produksi bernama SecureBackDoor dan SecureBackDoorPeim – yang hanya digunakan selama proses manufaktur. Penasihat keamanan dari Lenovo menjelaskan kerentanan seperti ini:

  • CVE-2021-3971: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur lama pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru disertakan dalam gambar BIOS dapat memungkinkan penyerang dengan hak yang lebih tinggi untuk memodifikasi wilayah perlindungan firmware dengan memodifikasi variabel NVRAM.
  • CVE-2021-3972: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk memodifikasi pengaturan boot aman dengan memodifikasi variabel NVRAM.

ESET telah memberikan analisis teknis terperinci dari tiga kerentanan yang ditemukan dengan mencatat bahwa “ancaman UEFI bisa sangat tersembunyi dan berbahaya” karena mereka mengeksekusi “di awal proses boot, sebelum mentransfer kontrol ke sistem operasi.”

Ini berarti bahwa sebagian besar mitigasi dan solusi keamanan yang aktif di tingkat OS tidak berguna dan eksekusi muatan hampir tidak dapat dihindari dan tidak terdeteksi.

Perusahaan keamanan siber telah menemukan dua implan seperti itu di masa lalu, keduanya digunakan di alam liar oleh pelaku ancaman:

  • Lojax – ditemukan pada tahun 2018 dan digunakan oleh aktor yang didukung negara Rusia dilacak sebagai APT28, Fancy Bear, Sednit, Strontium, dan Sofacy
  • ESPecter – diidentifikasi pada tahun 2021 dan aktif sejak 2012 (sebagai bootkit untuk sistem berbasis BIOS) untuk kegigihan pada Partisi Sistem EFI (ESP)

Ini bukan satu-satunya ancaman UEFI yang ditemukan. Kaspersky menerbitkan laporan tentang MosaicRegressor pada tahun 2020, tentang FinSpy pada tahun 2021, dan MoonBounce pada bulan Januari tahun ini.

Untuk melindungi dari serangan yang berasal dari kerentanan di atas, Lenovo merekomendasikan pengguna perangkat yang terpengaruh untuk memperbarui versi firmware sistem ke versi terbaru yang tersedia.

Ini dapat dilakukan dengan menginstal pembaruan secara manual dari halaman dukungan perangkat atau dengan bantuan utilitas untuk memperbarui driver sistem yang disediakan oleh perusahaan.

Windows 10: Malware kernel ini adalah alasan mengapa Anda membutuhkan PC Secured-core, kata Microsoft

by

Microsoft telah menjelaskan mengapa generasi baru PC Secured-core, seperti Surface Pro X, diperlengkapi untuk melawan ransomware dan malware lain yang menyerang driver perangkat keras yang rentan untuk membahayakan mesin.

 

Dua cara utama PC Secured-core memblokir serangan ransomware seperti RobbinHood adalah dengan mempertahankan diri terhadap driver yang rentan dan berbahaya dan dengan memblokir eksekusi kode yang tidak diverifikasi. 

 

Microsoft menciptakan Secured-core PCs sebagai tanggapan atas peningkatan kerentanan firmware yang membuka kemungkinan serangan terhadap komponen seperti driver, yang memiliki hak istimewa lebih tinggi daripada hypervisor dan kernel Windows. Serangan seperti itu akan merusak Secure Boot dan tidak terlihat oleh antivirus.

 

Yang menjadi perhatian khusus adalah penggunaan apa yang disebut ‘driver wormhole’, atau driver yang, secara desain, rentan dan merusak keamanan platform-level dengan membuka akses langsung ke kemampuan membaca dan menulis memori arbitrary tingkat kernel.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: ZDNet