Haittaohjelma RobbinHood leviää Gigabyten vanhan ajurin avulla

[Kaotik]

Maailmalla on alkanut leviämään RobbinHood nimellä tunnettu ransomware-tyyppinen haittaohjelma.
Se käyttää hyväkseen vanhaa Gigabyten ajuria, joka sisältää CVE-2018-19320-haavoittuvuuden. Hyödyntämällä Gigabyten allekirjoitettua ajuria, haittaohjelma pääsee kätevästi läpi allekirjoitustarkastuksista ja kykenee kytkemään tietoturvaohjelmia ja -ominaisuuksia pois päältä, jotta loput haittaohjelmasta pääsee asentumaan.

Living off another land: Ransomware borrows vulnerable driver to remove security software

Sophos has been investigating two different ransomware attacks where the adversaries deployed a legitimate, digitally signed hardware driver in order to delete security products from the targeted c…

news.sophos.com

 

[eternality]

Tuon CVE:n mukaan haavoittuvuuden sisältävät:

GIGABYTE APP Center v1.05.21 and earlier, AORUS GRAPHICS ENGINE before 1.57, XTREME GAMING ENGINE before 1.26, and OC GURU II v2.08

 

[Kaotik]

No voi nyt saatana. Eikö osata edes tonverran huomioida turvallisuutta?

Harvemminpa niitä haavoittuvuuksia tarkoituksella noihin lisätään ja vanhoja versioita on paha korjata. Tuo RobbinHood siis hyödyntää nimenomaan sellaista vanhaa versiota.