Una recente indagine di SentinelOne, in collaborazione con Mandiant, ha scoperto che importanti gruppi di hacker stano abusando di driver Microsoft, legittimamente autorizzati ma danneggiati, per attaccare aziende di telecomunicazioni, BPO, MSSP e servizi finanziari.
Il problema è stato segnalato e riconosciuto da Microsoft. Si tratta di una situazione preoccupante, poiché la maggior parte delle soluzioni di sicurezza si fida implicitamente di tutto ciò che è firmato da Microsoft, in particolare dei driver in modalità kernel.
L’obbligo di firmare questi driver tramite il portale dashboard del Centro sviluppatori hardware di Windows era inteso a fornire un controllo e una visibilità più rigorosi sui driver che vengono eseguiti con i privilegi più elevati su un sistema, ma i difetti del processo hanno permesso agli attori delle minacce di sfruttarlo a proprio favore.
Le aziende devono rimanere vigili e prendere in considerazione l’implementazione di soluzioni in grado di rilevare i driver dannosi in base alle loro caratteristiche e ai loro comportamenti, anche se firmati con certificati digitali Microsoft. Questo è essenziale per proteggere da potenziali violazioni e garantire la sicurezza delle informazioni sensibili.
Per leggere l’indagine completa consultare il sito: https://s1.ai/signed-ms .
