Опубликован инструмент для обхода проверки подписей драйверов в Windows

Опубликован инструмент для обхода проверки подписей драйверов в Windows

Пользователь GitHub hfiref0x опубликовал инструмент для обхода проверки цифровых подписей драйверов (Driver Signature Enforcement) в 64-битных системах Windows. Инструмент получил имя TDL (Turla Driver Loader).

Как пишет специалист, для работы с TDL потребуются учитывать следующие нюансы:

  • Windows x64 версий 7/8/8.1/10.
  • TDL предназначен только для 64-битных Windows, Vista не поддерживается, поскольку устарела.
  • Для работы требуются права администратора.
  • Загруженные драйверы должны быть специально разработаны для работы в режиме «driverless».
  • Нет поддержки SEH для целевых драйверов.
  • Нет возможности выгрузки драйверов.
  • Разрешен только импорт ntoskrnl.

Эксперт утверждает, что его инструмент использует схожую с эксплоитом режима ядра WinNT/Turla VirtualBox технику для записи кода в память ядра и последующего выполнения этого кода. TDL также использует собственный шелл-код для маппинга специально разработанного драйвера и вызова его точки входа (DriverEntry), обратите внимание, что параметры DriverEntry будут недействительными и не должны использоваться.

В качестве примеров специально разработанных драйверов hfiref0x опубликовал DummyDrv и DummyDrv2.

Доступен полный исходный код TDL, для создания инструмента вам потребуется Microsoft Visual Studio 2015 U1 и более поздние версии. Для сборки драйверов нужно будет установить Microsoft Windows Driver Kit 8.1 или более поздние версии. Сам TDL основан на старом драйвере Oracle VirtualBox, который был создан в 2008 году.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Опасные уязвимости в трёх WordPress-плагинах затрагивают 84 000 сайтов

Специалисты по кибербезопасности обнаружили уязвимости в трёх плагинах для движка WordPress. В общей сложности эти проблемы угрожают более 83 тыс. веб-сайтов и могут использоваться для получения полного контроля над атакованными ресурсами.

Одна из уязвимостей, которой присвоили идентификатор CVE-2022-0215, представляет собой брешь класса CSRF (cross-site request forgery, «межсайтовая подделка запроса»). Она получила 8,8 балла по шкале CVSS и затрагивает три плагина:

«Уязвимость позволяет атакующим обновить настройки сайта. Для эксплуатации злоумышленникам придётся заставить администратора сайта пройти по определённой ссылке», — пишет Wordfence.

 

Корень проблемы кроется в отсутствии должной валидации при обработке AJAX-запросов. В результате условный киберпреступник может изменить значение опции «users_can_register» и установить «default_role», что даст ему полный контроль над атакуемым ресурсом.

Разработчики затронутых плагинов уже выпустили соответствующие обновления, поэтому владельцам и администраторам сайтов нужно только установить их.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru