骇客利用8年前的Intel驱动程式漏洞,在Windows电脑安装恶意程式
文/林妍溱 | 2023-01-12发表
安全厂商Crowdstrike发现一个骇客组织利用8年前的Intel驱动程式漏洞绕过防毒软件检查安装恶意程式,攻击Windows电脑用户。
研究人员发现名为Scattered Spider(或Roasted 0ktapus或UNC3944)的骇客组织近半年来,持续透过Intel Ethernet诊断驱动程式(iqvw64.sys)中编号CVE-2015-2291的漏洞,在用户Windows电脑部署恶意的核心驱动程式。
研究人员解释,这波攻击是使用近年盛行的BYOVD(Bring Your Own Vulnerable Device)手法。这类手法是因应Windows防堵恶意程式执行的措施而生。自Windows Vista开始,微软就封锁未获签章的驱动程式执行,并在Windows 10进一步默认封锁具已知漏洞的驱动程式。这让骇客衍生出有漏洞或恶意驱动程式获得合法签章,藉以在Windows机器上执行。
Scattered Spider这波活动自去年6月起,攻击电信及企业流程委外(BPO)等产业,目的在存取电信网络。研究人员观察到的案例中,骇客使用窃取自知名业者如Nvidia、Global Software,以及自行签发的测试用凭证通过Windows检查,企图绕过受害者机器中的安全软件,包括微软Defender for Endpoint、Palo Alto Networks Cortex XDR、SentinelOne等。
CVE-2015-2291漏洞存在1.3.1.0版本以前的IQVW32.sys,以及1.3.1.0版以前的IQVW64.sys,可使本地用户0x80862013、0x8086200B、0x8086200F及0x80862007 IOCTL call发动阻断服务攻击,或以核心权限执行任意程式码。英特尔在2016年5月即已修补。
安全厂商呼吁企业应确认是否安装Intel显示器驱动程式,并尽速更新到最新版本。
https://www.ithome.com.tw/news/155132