Wndows 11 este din nou, din păcate, în atenția lumii întregi, iar asta pentru că sistemul de operare al celor de la Microsoft este vizat de către un grup de hackeri chinezi cunoscut sub numele de Silver Fox continuă să reprezinte o amenințare majoră pentru securitatea sistemelor Windows 11, utilizând tehnici avansate pentru a compromite protecțiile antivirus.
Specialiștii în securitate cibernetică au descoperit o nouă campanie de atacuri care vizează în special entitățile din Asia de Est, exploatând vulnerabilități în drivere considerate anterior sigure.
Exploatarea driverului WatchDog Antimalware pe Windows 11
Cea mai recentă descoperire în materie de securitate Windows 11 relevă că atacatorii Silver Fox au identificat și exploatat o vulnerabilitate critică în driverul WatchDog Antimalware. Acest driver, cunoscut sub numele de fișier amsdk.sys versiunea 1.0.600, face parte din soluția de securitate cu același nume și a fost considerat până acum de încredere de către administratorii de sistem Windows 11.
Cercetătorii de la Check Point Research au explicat că această vulnerabilitate nu fusese identificată anterior ca fiind problematică, ceea ce a permis atacatorilor să o exploateze cu succes în multiple campanii. Tehnica utilizată, cunoscută sub numele de “Bring Your Own Vulnerable Driver”, permite hackerilor să introducă propriile drivere vulnerabile în sistemele Windows 11 pentru a obține privilegii extinse.
Mecanismul de atac și impactul asupra Windows 11
Procesul de compromitere începe cu dezactivarea instrumentelor antivirus și a soluțiilor EDR (Endpoint Detection and Response) care protejează sistemele Windows 11. După neutralizarea acestor apărări, atacatorii implementează ValleyRAT, un malware sofisticat care funcționează ca backdoor pentru spionaj cibernetic.
ValleyRAT oferă atacatorilor capacități extinse de control asupra sistemelor Windows 11 compromise, inclusiv executarea arbitrară de comenzi și exfiltrarea datelor sensibile. Această amenințare este deosebit de periculoasă pentru organizațiile care gestionează informații confidențiale pe platformele Windows 11.
Pentru a asigura compatibilitatea pe diferite versiuni de Windows, inclusiv Windows 7, Windows 10 și Windows 11, grupul Silver Fox utilizează și un al doilea driver vulnerabil numit ZAM.exe, provenit din soluția anti-malware Zemana. Această abordare demonstrează nivelul de sofisticare al atacatorilor și planificarea meticuloasă a campaniilor lor.
Răspunsul producătorilor și recomandări pentru Windows 11
WatchDog a reacționat prompt la descoperirea vulnerabilității, lansând o actualizare care remediază defectul de privilegii locale. Cu toate acestea, problema terminării arbitrare a proceselor persistă, menținând riscul pentru utilizatorii Windows 11 care nu implementează măsuri suplimentare de protecție.
Infrastructura utilizată de atacatori este situată în China și găzduiește fișiere binare cu funcții anti-analiză și mecanisme de persistență. Aceste caracteristici fac detectarea și eliminarea amenințării deosebit de dificilă pentru sistemele Windows 11 standard.
Experții în securitate recomandă echipelor IT să monitorizeze cu atenție lista de blocare a driverelor Microsoft și să implementeze reguli de detectare YARA pentru identificarea rapidă a acestor amenințări pe sistemele Windows 11. De asemenea, supravegherea continuă a traficului de rețea rămâne esențială pentru detectarea activităților suspecte care ar putea indica o compromitere în curs.
