MinhSec
Writer
Một trình điều khiển (driver) hợp pháp của Lenovo đang khiến giới an ninh mạng lo ngại sau khi các nhà nghiên cứu phát hiện nó có thể bị tin tặc lợi dụng để vô hiệu hóa phần mềm bảo mật ngay từ cấp độ nhân hệ điều hành Windows.
Theo nhà nghiên cứu bảo mật Jehad Abudagga, driver BootRepair.sys vốn liên quan tới tiện ích Lenovo PC Manager chứa nhiều điểm yếu nguy hiểm cho phép kẻ tấn công chấm dứt các tiến trình tùy ý trên máy tính, bao gồm cả phần mềm antivirus và EDR.
Điều đáng lo ngại là driver này được ký số hợp lệ bởi Lenovo nên gần như không bị các công cụ bảo mật cảnh báo. Tại thời điểm phân tích, tệp này cũng không bị phát hiện là độc hại trên VirusTotal.
Nói cách khác, tin tặc có thể tận dụng driver hợp pháp này để “giết” các phần mềm bảo vệ như EDR hoặc antivirus trước khi triển khai mã độc khác trên hệ thống.
Nhà nghiên cứu đã chứng minh khả năng này bằng cách vô hiệu hóa cảm biến bảo mật của CrowdStrike rồi chạy công cụ đánh cắp thông tin như Mimikatz mà không bị ngăn chặn.
Kỹ thuật này được gọi là BYOVD (Bring Your Own Vulnerable Driver) một kiểu tấn công ngày càng phổ biến, trong đó hacker sử dụng các driver hợp pháp nhưng tồn tại lỗ hổng để vượt qua cơ chế bảo mật của Windows.
Các chuyên gia khuyến cáo doanh nghiệp nên sử dụng danh sách chặn driver dễ bị khai thác của Microsoft, đồng thời giám sát chặt các hoạt động tải driver bất thường ở cấp kernel.
Vụ việc cũng cho thấy các cuộc tấn công hiện đại không còn chỉ dựa vào mã độc truyền thống, mà ngày càng tận dụng những thành phần hợp pháp trong hệ thống để âm thầm vô hiệu hóa lớp phòng thủ trước khi ra tay.
Theo nhà nghiên cứu bảo mật Jehad Abudagga, driver BootRepair.sys vốn liên quan tới tiện ích Lenovo PC Manager chứa nhiều điểm yếu nguy hiểm cho phép kẻ tấn công chấm dứt các tiến trình tùy ý trên máy tính, bao gồm cả phần mềm antivirus và EDR.
Điều đáng lo ngại là driver này được ký số hợp lệ bởi Lenovo nên gần như không bị các công cụ bảo mật cảnh báo. Tại thời điểm phân tích, tệp này cũng không bị phát hiện là độc hại trên VirusTotal.
Driver Lenovo mở đường cho tấn công BYOVD
Theo phân tích, BootRepair.sys tạo ra một thiết bị hệ thống mà gần như bất kỳ người dùng nào cũng có thể truy cập mà không cần quyền quản trị cao. Driver này hỗ trợ mã điều khiển đặc biệt cho phép nhập PID của một tiến trình và dùng API nhân Windows để chấm dứt tiến trình đó.
Nói cách khác, tin tặc có thể tận dụng driver hợp pháp này để “giết” các phần mềm bảo vệ như EDR hoặc antivirus trước khi triển khai mã độc khác trên hệ thống.
Nhà nghiên cứu đã chứng minh khả năng này bằng cách vô hiệu hóa cảm biến bảo mật của CrowdStrike rồi chạy công cụ đánh cắp thông tin như Mimikatz mà không bị ngăn chặn.
Kỹ thuật này được gọi là BYOVD (Bring Your Own Vulnerable Driver) một kiểu tấn công ngày càng phổ biến, trong đó hacker sử dụng các driver hợp pháp nhưng tồn tại lỗ hổng để vượt qua cơ chế bảo mật của Windows.
Mối đe dọa khó phát hiện hơn mã độc thông thường
Điểm nguy hiểm của các cuộc tấn công BYOVD là chúng lợi dụng chính các thành phần được hệ điều hành tin cậy. Vì driver có chữ ký số hợp lệ nên nhiều giải pháp bảo mật mặc định sẽ cho phép hoạt động.Các chuyên gia khuyến cáo doanh nghiệp nên sử dụng danh sách chặn driver dễ bị khai thác của Microsoft, đồng thời giám sát chặt các hoạt động tải driver bất thường ở cấp kernel.
Vụ việc cũng cho thấy các cuộc tấn công hiện đại không còn chỉ dựa vào mã độc truyền thống, mà ngày càng tận dụng những thành phần hợp pháp trong hệ thống để âm thầm vô hiệu hóa lớp phòng thủ trước khi ra tay.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
