[漏洞預警]駭客利用8年前的Intel驅動程式漏洞,在Windows電腦安裝惡意程式

駭客利用8年前的Intel驅動程式漏洞,在Windows電腦安裝惡意程式

情資卡編號:TCCY-RCDC-ANA-202301-0042

事件主旨:駭客利用8年前的Intel驅動程式漏洞,在Windows電腦安裝惡意程式

內容說明:

安全廠商Crowdstrike發現一個駭客組織利用8年前的Intel驅動程式漏洞繞過防毒軟體檢查安裝惡意程式,攻擊Windows電腦用戶。

研究人員發現名為Scattered Spider(或Roasted 0ktapus或UNC3944)的駭客組織近半年來,持續透過Intel Ethernet診斷驅動程式(iqvw64.sys)中編號CVE-2015-2291的漏洞,在用戶Windows電腦部署惡意的核心驅動程式。

研究人員解釋,這波攻擊是使用近年盛行的BYOVD(Bring Your Own Vulnerable Device)手法。這類手法是因應Windows防堵惡意程式執行的措施而生。自Windows Vista開始,微軟就封鎖未獲簽章的驅動程式執行,並在Windows 10進一步預設封鎖具已知漏洞的驅動程式。這讓駭客衍生出有漏洞或惡意驅動程式獲得合法簽章,藉以在Windows機器上執行。

Scattered Spider這波活動自去年6月起,攻擊電信及企業流程委外(BPO)等產業,目的在存取電信網路。研究人員觀察到的案例中,駭客使用竊取自知名業者如Nvidia、Global Software,以及自行簽發的測試用憑證通過Windows檢查,企圖繞過受害者機器中的安全軟體,包括微軟Defender for Endpoint、Palo Alto Networks Cortex XDR、SentinelOne等。

CVE-2015-2291漏洞存在1.3.1.0版本以前的IQVW32.sys,以及1.3.1.0版以前的IQVW64.sys,可使本地用戶0x80862013、0x8086200B、0x8086200F及0x80862007 IOCTL call發動阻斷服務攻擊,或以核心權限執行任意程式碼。英特爾在2016年5月即已修補。

風險等級:2

建議措施:確認Windows電腦是否安裝Intel顯示器驅動程式,並儘速更新到最新版本。