1. Главная
  2. Новости
  3. Подписанные драйверы ядра могут стать незащищенным шлюзом к ядру Windows

Подписанные драйверы ядра могут стать незащищенным шлюзом к ядру Windows

Подписанные драйверы ядра могут стать незащищенным шлюзом к ядру Windows

Использование читов для видеоигр может подвергнуть компьютер пользователя риску кибератак. Уязвимости в подписанных драйверах используются не только разработчиками читов для игр для обхода механизмов защиты от читов, но также APT-группировками, пишет SecurityLab.

Специалисты из компании ESET проанализировали типы уязвимостей, которые обычно встречаются в драйверах ядра, и обнаружили несколько уязвимых драйверов в популярном игровом программном обеспечении.

Неподписанные драйверы или драйверы с уязвимостями часто могут стать незащищенными шлюзом к ядру Windows для злоумышленников. Хотя прямая загрузка вредоносного неподписанного драйвера больше невозможна в Windows 11 и Windows 10, а руткиты считаются делом прошлого, все еще существуют способы загрузки вредоносного кода в ядро ​​Windows, особенно путем злонамеренного использования легитимных подписанных драйверов.

Существует множество драйверов от производителей аппаратного и программного обеспечения, которые предлагают функциональные возможности для полного доступа к ядру с минимальными усилиями. В ходе исследования компания ESET обнаружила уязвимости в программном обеспечении AMD µProf profile, популярном инструменте для тестирования производительности Passmark и системной утилите PC Analyser. Разработчики всех уязвимых программ выпустили исправления для устранения уязвимостей после того, как ESET связалась с ними.

Распространенный метод, используемый киберпреступниками и злоумышленниками для запуска вредоносного кода в ядре Windows, известен как Bring Your Own Vulnerable Driver (BYOVD).

«Когда вредоносным программам необходимо запустить вредоносный код в ядре Windows на системах x64 с принудительной подписью драйверов, наличие уязвимого подписанного драйвера ядра кажется приемлемым вариантом для этого. Этот метод известен как Bring Your Own Vulnerable Driver, сокращенно BYOVD, и было замечено, что он используется в реальных атаках как высококлассными APT-группировками, так и в массовом вредоносном ПО», — пояснил старший исследователь вредоносного ПО в ESET Питер Калнаи (Peter Kálnai).

Примеры злоумышленников, использующих BYOVD, включают APT-группу Slingshot, которая реализовала свой основной модуль Cahnadr в качестве драйвера режима ядра, а также APT-группу InvisiMole, обнаруженную исследователями еще в 2018 году. Программа-вымогатель RobinHood — еще один пример, использующий уязвимый драйвер материнской платы GIGABYTE для отключения проверки подписи драйверов и установки собственного вредоносного драйвера.

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности

28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.

подробнее Стрелочка
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»

Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.

подробнее Стрелочка