安全厂商Crowdstrike发现一个黑客组织利用8年前的Intel驱动程序漏洞绕过杀毒软件检查安装恶意程序,攻击Windows计算机用户。
研究人员发现名为Scattered Spider(或Roasted 0ktapus或UNC3944)的黑客组织近半年来,持续通过Intel Ethernet诊断驱动程序(iqvw64.sys)中编号CVE-2015-2291的漏洞,在用户Windows计算机部署恶意的核心驱动程序。
研究人员解释,这波攻击是使用近年盛行的BYOVD(Bring Your Own Vulnerable Device)手法。这类手法是应对Windows防堵恶意程序执行的措施而生。自Windows Vista开始,微软就封锁未获签章的驱动程序执行,并在Windows 10进一步默认封锁具已知漏洞的驱动程序。这让黑客衍生出有漏洞或恶意驱动程序获得合法签章,借以在Windows机器上执行。
Scattered Spider这波活动自去年6月起,攻击电信及企业流程委外(BPO)等产业,目的在访问电信网络。研究人员观察到的案例中,黑客使用窃取自知名企业如Nvidia、Global Software,以及自行签发的测试用凭证通过Windows检查,企图绕过受害者机器中的安全软件,包括微软Defender for Endpoint、Palo Alto Networks Cortex XDR、SentinelOne等。
CVE-2015-2291漏洞存在1.3.1.0版本以前的IQVW32.sys,以及1.3.1.0版以前的IQVW64.sys,可使本地用户0x80862013、0x8086200B、0x8086200F及0x80862007 IOCTL call发动拒绝服务攻击,或以核心权限执行任意程序代码。英特尔在2016年5月即已修补。
安全厂商呼吁企业应确认是否安装Intel显示器驱动程序,并尽快更新到最新版本。