Pesquisadores de segurança descobriram vulnerabilidades críticas em drivers de segurança no software Panda Security. Esta cadeia de falhas abusa de drivers legítimos para desabilitar produtos EDR. Apesar de ter pontuações CVSS relativamente baixas, eles podem ser bastante eficientes em ataques do mundo real.
Vulnerabilidades do driver Panda Security descobertas
Pesquisadores descobriram três vulnerabilidades críticas em um driver de segurança amplamente utilizado em várias plataformas digitais. O motorista em questão é pskmad_64.sys, que pertence à Panda Security. Embora a vulnerabilidade tenha sido descoberta em julho 2023, a empresa forneceu um patch apenas em janeiro 2024.
Por análise mais detalhada, os especialistas descobriram que o incidente inicial aconteceu durante o procedimento de teste de penetração. A equipe vermelha elaborou e usou essas vulnerabilidades durante o ataque. Agora, eles receberam os códigos de CVE-2023-6330, CVE-2023-6331 e CVE-2023-6332 respectivamente.
Análise das Falhas
A primeira vulnerabilidade é CVE-2023-6330, que tem CVSS 6.4 e está relacionado ao registro. Porque o driver não validou corretamente o conteúdo desses valores de registro, um invasor pode colocar conteúdo malicioso nos valores corretos. Isso pode ter resultado em um estouro de memória. O dano mínimo desta vulnerabilidade é uma negação de serviço.
A segunda vulnerabilidade, CVE-2023-6331, também tem CVSS 6.4, mas o Panda avalia isso como alto. A vulnerabilidade está relacionada à falta de verificação de limites ao mover dados via memmove para um pool de memória não carregável. Um invasor pode enviar um pacote criado com códigos maliciosos ao driver usando uma solicitação IRP com Código IOCTL 0xB3702C08. Esta ação causará um estouro do conjunto de memória não carregável, resultando em uma gravação sem memória. O dano mínimo é uma negação de serviço.
A terceira vulnerabilidade CVE-2023-6332 tem CVSS 4.1 e consiste em validação de solicitação insuficiente no driver do kernel. Aquilo é, um invasor pode enviar uma solicitação de leitura específica diretamente da memória do kernel, causando vazamento de dados confidenciais. Embora à primeira vista todas essas vulnerabilidades pareçam inofensivas, em combinação com outras vulnerabilidades, podem causar danos mais graves.
Exploração de drivers antivírus – uma nova tendência?
A história em torno dos drivers vulneráveis do Panda Security é estranhamente semelhante às notícias recentes sobre uma tática employed by Kasseika ransomware. Dentro de um curso de Ataque BYOVD, o último explorou um driver defeituoso de um Sistema de agente VirIT solução de segurança. Tal abordagem permitiu que hackers listassem todos os processos em execução no ambiente e suspendessem aqueles relacionados às ferramentas de segurança..
Geral, the idea of using vulnerable drivers em ataques cibernéticos não é novidade. Embora direcionar especificamente drivers de software antivírus/antimalware pareça ser uma nova tendência. Esses drivers têm integração de sistema mais profunda, levando a um controle mais abrangente sobre o sistema no caso de uma exploração bem-sucedida. Além disso, as próprias ferramentas de segurança geralmente consideram esses drivers seguros e legítimos, o que significa que os invasores podem permanecer fora do radar, mesmo tendo seus “arma principal” implantado diretamente no disco.
Como se manter protegido?
Para garantir sua segurança e proteção, manter seu software e sistemas de segurança atualizados é crucial. Por isso, conduzir auditorias de sistema de rotina e implementar protocolos de segurança robustos também pode ajudar a proteger contra possíveis explorações. Além disso, existem recomendações mais detalhadas que abordam vulnerabilidades atuais.