Hackers misbruiken lek in Gigabyte-driver voor plaatsen ransomware - update

1 reactie

Cybersecuritybedrijf Sophos heeft onderzocht hoe cybercriminelen gebruik konden maken van een kwetsbaarheid in een driver van Gigabyte zodat ze ransomware konden installeren op de systemen van gebruikers.

De bug heeft het kenmerk CVE-2018-19320 ontvangen. Het probleem is een kerneldriver genaamd gdrv.sys die vatbaar is voor privilege escalation. De NIST, die het kenmerk heeft gegeven, noemt Gigabyte App Center v1.05.21 en eerdere versies, Aorus Graphics Engine 1.57, Xtreme Gaming Engine versie 1.26 en eerder en OC Guru II 2.08 als drivers waar het probleem in is verwerkt. Graphics Engine en Xtreme Gaming Engine lijken volgens Gigabytes site betrekking te hebben op de grafische kaart, App Center is te installeren voor verschillende toepassingen zoals rgb-verlichting.

Hoewel de driver niet meer wordt gebruik is hij nog steeds digitaal goedgekeurd door Versign, waarom dit het geval is, is nog niet bekend. Door dit certificaat kan de driver toch worden geïnstalleerd, waarna Windows driver signature verification uitgeschakeld kan worden. Daardoor kan een tweede driver geïnstalleerd worden, die mogelijk geïnstalleerde beveiligingssoftware uit moet schakelen. Daarna kan de ransomware worden geïnstalleerd.

Deze malafide software is een variant van de ransomware RobbinHood en zou de bestanden van de gebruiker versleutelen met een rsa-4096-versleuteling, waarna er losgeld wordt geëist. Als het onbekende bedrag na vier dagen niet is betaald, wordt het bedrag volgens de ransomware met 10.000 dollar per dag verhoogd. De aanval zou in ieder geval mogelijk zijn op Windows 7, 8 en 10. Het probleem is te vermijden door niet deze specifieke drivers en eerdere versies te installeren. Gigabyte heeft het probleem zelf al (gedeeltelijk) opgelost door in ieder geval nieuwe versies aan te bieden, hoewel de oudere varianten nog te downloaden zijn.

Update, 11-2-2020 - het artikel is aangepast voor extra duidelijkheid over de oorsprong van de drivers.

Bronnen: Sophos, ZDNet

« Vorig bericht Volgend bericht »
0
*