Lenovo-Treiber: Hacker nutzen Schwachstelle zur Deaktivierung von EDR-Systemen

Dieser Puffer enthält eine Prozess-ID (PID), die an eine interne Routine übergeben wird, die Prozesse beendet.

Die zugrundeliegende Funktion nutzt die Windows-Kernel-API ZwTerminateProcess, um den angegebenen PID zu beenden und damit jedem Benutzer die Möglichkeit gibt, beliebige Prozesse einzustellen, einschließlich geschützter oder sicherheitskritischer Dienste. TerminateProcessByPID-Funktion (Quelle: Jehad Abudagga).

Die Schwachstellen ermöglichen zwei primäre Angriffszenarien:

Technischer Hintergrund

Ist der Treiber bereits auf einem System vorhanden, kann ein Angreifer mit geringen Privilegien direkt mit ihm interagieren, um Antiviren- oder EDR-Prozesse zu beenden.

Ist er nicht vorhanden, können Angreifer den signierten Treiber im Rahmen eines BYOVD-Angriffs bereitstellen, ihn in den Kernel laden und die Verteidigungsmechanismen deaktivieren, bevor sie nachausnutzungsbezogene Tools ausführen.

In einer Proof-of-Concept-Demonstration zeigte der Forscher, dass auch geschützte Prozesse, wie beispielsweise der CrowdStrike Falcon Sensor, nach dem Laden des Treibers beendet werden können. CrowdStrike-Prozess wird beendet (Quelle: Medium).

Sobald die Verteidigung deaktiviert ist, können offensive Tools wie Credential-Dumper ohne Störung ausgeführt werden. Der Forscher Jehad Abudagga erklärte in einem Bericht, der bei