Ovladače od Gigabyte stále mohou být zneužity pro instalaci ransomwaru

Napadením digitálně podepsaných ovladačů je možné do počítače snadno nainstalovat škodlivý software, přičemž aktuálně se tak děje s využitím RobbinHood Ransomware. Zneužita je zde chyba v ovladačích firmy Gigabyte, která je už známá pod označením CVE-2018-19320. Týká se ovladače gdrv.sys s digitálním podpisem od Versign a využití eskalace privilegií. 

 

 

Jak nám označení chyby říká, jde o problém už z roku 2018, kdy se objevil, a to včetně kódu, jenž měl napadnutelnost ovladače dokládat. Gigabyte tehdy tvrdil, že jeho produkty nejsou touto věcí postiženy, nicméně daný ovladač poté přestal používat. Ten ale stále nese podpis Authenticode od Verisign, takže zůstává hrozbou.

 

Problém se týká ovladače v softwaru GIGABYTE APP Center v1.05.21 (a starší), AORUS GRAPHICS ENGINE (verze před 1.57), XTREME GAMING ENGINE (verze před 1.26) a OC GURU II v2.08.

 

V tomto scénáři byl gdrv.sys použit jako prostředek k tomu, aby byl na cílový počítač nainstalován další ovladač rbnl.sys, který pak započne svou práci. Ta sestává z ukončení vybraných procesů a smazání klíčových souborů různých bezpečnostních produktů, které mají za úkol chránit počítač v případě, že by se nějaký proces snažil spustit nežádané šifrování dat. To pak může začít a dál už to všichni známe, nastoupí požadavek o zaslání určitého obnosu s tím, že ten se bude po určité lhůtě zvyšovat, aby měl nešťastník motivaci nehledat pomoc a naopak zaplatit co nejdříve. 

 

Dle Sophos se to přitom týká systémů Windows 7, Windows 8 i Windows 10, kde se ve složce WINDOWS\TEMP ocitnou soubory rozbalené ze souboru steel.exe. Je to jednak robnr.exe, který do počítače nainstaluje gdrv.sys a prostřednictvím něj pak i rbnl.sys, s jehož pomocí soubor steel.exe pak začne deaktivovat ochranu systému ukončováním procesů a mazáním souborů, jejichž seznam má uložen v textovém souboru plist.txt. Kvůli eskalaci privilegií se přitom obejde i ochrana driver signature enforcement systémů Windows. 

 

Stále jde ovšem o důsledek toho, že se do PC nějakým způsobem dostane soubor steel.exe, který je poté spuštěn. Ale to už se může stát mnoha různými způsoby.