Kwetsbaarheid in Gigabyte-driver gebruikt voor ransomware-aanval

Abonneer je gratis op Techzine!

Er is een niet langer gebruikte driver van Gigabyte ontdekt, nog wel met een digitale signature, die kan worden gebruikt om de bestanden op een computer volledig te versleutelen. Cybersecurityfirm Sophos deed onderzoek naar de nieuwe mogelijkheid en concludeerde dat het wel degelijk mogelijk was.

Ransomware RobbinHood zou de verouderde driver met digitale handtekening gebruiken om, vanwege de kwetsbaarheid die in de driver zit, de beveiligingsmaatregel van Windows rondom digitale ondertekeningen van software uit te schakelen. Vervolgens kan de ransomware de eigen, niet ondertekende software installeren en worden bestanden versleuteld.

Ondertekening met weinig effect

Het voornaamste probleem dat Sophos hiermee wil aankaarten, is dat er drivers beschikbaar zijn mét digitale ondertekening, maar tevens met aanzienlijke kwetsbaarheden die niet zijn verholpen. Niet alleen is dat niet gedaan (Gigabyte koos er bijvoorbeeld voor om de driver in de prullenbak te gooien), het bedrijf achter het uitgeven van digitale handtekeningen (Verisign) heeft het certificaat ook niet ingetrokken.

Volgens Sophos is dit de eerste keer dat ransomware kan worden verspreid middels een legitieme driver. Ook kaart het aan dat er andere drivers zijn die eveneens soortgelijke kwetsbaarheden bevatten maar ook de digitale ondertekening dragen. Microsoft zelf heeft nog niets gezegd over de nieuwe ontdekte kwetsbaarheden, maar over het algemeen hanteert het dezelfde richtlijn: certificaten worden alleen ingetrokken als het certificaat zelf een kwetsbaarheid heeft, aangezien anders ook software zonder kwetsbaarheden maar met dezelfde digitale ondertekeningen worden buitengesloten.