Kuzey Kore tarafından desteklendiği düşünülen Lazarus APT grubunun, güvenlik açığı içeren Dell sürücülerini kullanarak hedef sistemlere rootkit yükledikleri ortaya çıktı. Böylece daha etkin bir şekilde kalıcılık sağlayabildikleri gözlemlendi.
Windows, kod imzasına sahip olmayan sürücülerin sisteme yüklenmesini engelleyen bir rootkit önleme mekanizmasına sahip. Son zamanlarda birçok saldırgan, geliştirdikleri zararlı sürücüleri imzalatamadıkları için hedeflerinde kullanmak amacıyla imzalı sürücülerin zafiyetlerini sömürüyor. Bu sayede Windows’un yerleşik önlemleri geçilebiliyor.
ESET tarafından yayınlanan araştırma raporuna göre, Amazon’dan gelmiş iş teklifi gibi gözüken mail ekleriyle Hollanda’daki bir havalimanı yetkilisi ve Belçika’daki bir siyasi gazeteci hedef alındı. Hedefler ekteki dosyayı çalıştırdığında CVE‑2021‑21551 koduyla bilinen, 2021 Mayıs’ında Dell DBUtil’de keşfedilen zafiyetli bir sürücü kullanılarak sistemde kalıcılık sağlandı ve güvenlik çözümleri kapatıldı. Windows’un dahili çekirdek güvenlik mekanizmalarının da raporda belirtildiği kadarıyla başarıyla engellendiği görülüyor.
Bu tarz sürücü zafiyetlerine karşı ne yazık ki biz kullanıcıların yapabileceği bir şey bulunmamakta. Geliştiricilerin mümkün mertebe güvenli yazılım geliştirmeye dikkat etmesi ve kötüye kullanıldığı bilinen sürücülerin yüklenmesinin Microsoft tarafından kara listeye alınarak engellenmesi gerekiyor.
