Dell Driver’ları Windows Kernel İstismarında Kullanılmaya Devam Ediliyor
Dell, Mayıs 2021’de bilgisayar sürücülerinde toplu olarak CVE-2021-21551 olarak izlenen beş güvenlik açığı açıklamış ve 12 yıl boyunca kullanılabilir durumda kaldıktan sonra düzeltmişti.
Rapid7 araştırmacısı Jake Baines, “Dell’in güncellemesinin ne-nereye-yazma koşulunu düzeltmediğini, yalnızca yönetici kullanıcılarla sınırlı erişim sağladığını gördük. Microsoft’un güvenlik sınırları tanımına göre, Dell’in düzeltmesi güvenlik sorununu ortadan kaldırdı,” diye açıklıyor.
BYOVD saldırısı nedir?
BYOVD, saldırganların hedef makineye üreticeyi ait orjinal ancak zafiyet içeren sürücü yüklediği bir saldırı tekniğidir. Bu savunmasız sürücü daha sonra ayrıcalıkları yükseltmek veya hedef sistemde kod yürütmek için kullanılır. Ne yazık ki Microsoft, sorunu daha katı Windows DSE (Sürücü İmza Uygulaması) kurallarıyla hafifletmeye çalışsa da bu teknik kullanılmaya devam ediyor.
Dell sürücülerindeki sorunu nedir?
CVE-2021-21551’e karşı savunmasız olan sürücü Dell’in ‘dbutil_2_3.sys’ sürücüsü ve son güncellemelerden sonra bile zafiyet devam etmekte.
Araştırmacılar, aşağıdaki videoda gösterilen Dell sürücüsünün (2.5 ve 2.7) sürümlerini kullanarak LSA saldırısı uygulayan bir Metasploit modülü geliştir.
Nasıl önlem alınabilir?
- Microsoft’un sürücü engelleme kurallarını kullanın (şu anda Dell sürücüleri dahil değildir.
- Üçüncü taraf bir EDR çözümünde 2.3, 2.5 ve 2.7 için three hashes yapın.
- Hypervisor-Protected Code Integrity (HVCI) aktif edin.
Kaynak: bleepingcomputer.com