Soluzione di sicurezza nuova fiammante? Bella, ma i cybercriminali la disabilitano. Una nuova scoperta di Sophos

Vista la mole sempre crescente di attacchi informatici, un'azienda acquista una soluzione EDR (Endpoint Detection and Response) per proteggersi dai cybercriminali: in questo modo sarà al sicuro, perché la soluzione EDR eliminerà le minacce, giusto? In realtà, come svelato da Sophos, i criminali stanno adottando tecniche che consentono loro di disabilitare gli EDR, così da poter poi agire indisturbati.

I criminali disattivano gli EDR con nuovi strumenti

Il caso di CrowdStrike ha fatto un certo scalpore perché ha fatto sì che moltissimi servizi smettessero di funzionare: treni, aerei, ospedali e molte altre infrastrutture fondamentali si sono fermate per via di un problema nel software di sicurezza. La causa ultima dietro il problema è il fatto che Falcon, questo il nome del software, opera in kernel space, ovvero allo stesso livello del kernel, il "cuore" del sistema operativo che sovrintende a tutte le funzioni del computer. Il nuovo malware scoperto da Sophos porta nella stessa direzione, per quanto in maniera differente.

Durante l'indagine su un attacco con il ransomware RansomHub, Sophos ha scoperto uno strumento, che ha chiamato EDRKillShifter, che consente di disabilitare la protezione data dagli EDR: sfruttando le vulnerabilità presenti in vari driver, il malware riesce a creare una porta d'accesso al kernel space, da cui può disabilitare la protezione così da agire indisturbato. Se il problema con CrowdStrike era che un crash in kernel space porta l'intero sistema ad andare in crash, nel caso di EDRKillShifter l'accesso al kernel space porta a poter controllare ogni cosa, incluse le soluzioni EDR.

Il malware, una volta eseguito su un computer, esegue un programma che installa un driver legittimo, ma vulnerabile; si tratta spesso di vecchie versioni di driver che contengono una vulnerabilità che può essere sfruttata dai malintenzionati, proprio perché i driver sono legittimi e non destano dunque sospetti immediati. Non si tratta di una novità in senso assoluto: su GitHub sono presenti proof of concept come BadRentdrv2 che mostrano come usare questo meccanismo, che è noto come "BYOVD" ("bring your own vulnerable driver").

Una volta installato il driver, il programma ne sfrutta la vulnerabilità per arrivare in kernel space e terminare i processi legati alle soluzioni EDR e provvede dunque a eseguire il ransomware RansomHub.

Sembra un piano perfetto, ma c'è un "ma": per poter installare il driver vulnerabile, i malintenzionati devono già aver ottenuto i privilegi amministrativi sulla macchina colpita. Un secondo "ma" è che Microsoft ha segnalato come inaffidabile il driver rentdrv2 usato dai malintenzionati, dunque le macchine con gli ultimi aggiornamenti installati non ne permettono l'installazione.

Per questo Sophos consiglia di separare nettamente i ruoli degli utenti e degli amministratori, di mantenere sempre aggiornati i sistemi e di abilitare le funzionalità di anti-compromissione degli EDR, che sono in grado di rilevare i tentativi come questo di disabilitarne le funzionalità.

Si tratta, in ogni caso, di un'evoluzione interessante (e preoccupante, per molti versi) delle tecniche di attacco. Il problema più grande è che, al di là delle raccomandazioni di Sophos, non sembrano esserci molte soluzioni: i driver vulnerabili sono sempre esistiti ed esisteranno sempre. L'eterno gioco del gatto e del topo tra criminali e software di sicurezza continua.