Allarme Windows: hacker sfruttano una falla per accedere al kernel

Alcuni hacker stanno sfruttando due software open source, particolarmente apprezzati dai cheater di videogames, per aggirare alcune protezioni di Windows e efficace il proprio malware.

I software in questione, disponibili al download su GitHub, permette ai videogiocatori di eseguire dei cheat code all’interno del kernel di Windows. Questo luogo, uno dei più delicati per il sistema operativo di Microsoft, è una “preda ambita” per i cybercriminali.

Una ricerca del team di sicurezza Talos di Cisco ha scoperto che alcune bande di criminali informatici hanno sfruttato HookSignToo e FuckCertVerifyTimeValidit (questi i nomi delle due app), per raggiungere il kernel e agire in totale libertà sul PC della vittima.

Gli stessi esperti hanno commentato come “Durante la nostra ricerca abbiamo identificato gli attori delle minacce che sfruttano HookSignTool e FuckCertVerifyTimeValidity, strumenti di contraffazione del timestamp della firma che sono stati resi disponibili rispettivamente dal 2019 e dal 2018, per distribuire driver dannosi“.

Una tecnica molto pericolosa per accedere al kernel di Windows

Con il debutto di Windows Vista, Microsoft ha introdotto nuove severe restrizioni sul caricamento dei driver di sistema che possono essere eseguiti in modalità kernel. I driver sono fondamentali affinché i dispositivi funzionino con software antivirus, stampanti e altri tipi di software e periferiche. Allo stesso tempo, però, sono anche una via d’accesso alquanto comoda per gli hacker.

Una volta ottenuto l’accesso al kernel, il malware può ottenere svariati privilegi amministrativi sulla macchina infettata. In questo modo, i cybercriminali si ritrovano tra le mani password e altri dati sensibili, oltre a poter interagire liberamente son il computer, eseguendo software e non solo.

Sebbene Microsoft abbia affinato con gli anni un sistema che permette l’accesso solo a driver certificati, gli hacker hanno trovato il modo di aggirare questo limite con una tecnica nota come bring your own vulnerable driver. In poche parole gli hacker installano il driver certificato e quindi sfruttano la vulnerabilità dello stesso per iniettare il loro malware nel kernel di Windows.

Sebbene la tecnica esista da più di un decennio, Microsoft deve ancora escogitare difese adeguate e strategie di prevenzione specifica.