Ekipy od ransomware wykorzystują podatny anti-cheat z gry Genshin Impact

Systemy anty-cheat często działają z maksymalnymi możliwymi uprawnieniami (aby móc wykryć jak najwięcej) zatem potencjalna podatność w tego typu module daje duże możliwości (wykonanie kodu na poziomie jądra systemu operacyjnego). Tak jest i w tym przypadku:

a vulnerable anti-cheat driver for the popular role-playing game Genshin Impact. The driver is currently being abused by a ransomware actor to kill antivirus processes and services for mass-deploying ransomware. 

Eeee, ale nie mam zainstalowanego Genshin Impact, więc to nie jest problem. No właśnie niekoniecznie:

1. Atakujący wykorzystują sam driver (dostarczany przez siebie), który jest odpowiednio podpisany. Dzięku temu mogą przejść nieco po cichu od admina (wymaganie instalacji sterownika) do wykonania kodu na poziomie jądra i z tego poziomu już bez żadnych ceregieli robić co im tylko przyjdzie do głowy.
   
   As of this writing, the code signing for mhyprot2.sys is still valid. Genshin Impact does not need to be installed on a victim’s device for this to work; the use of this driver is independent of the game.
   
2. Sam sterownik być może nadal znajduje się (zainstalowany) na komputerze, nawet jeśli odinstalowano Genshin Impact.

W każdym razie, jeśli znajdziecie gdzieś na swoim systemie sterownik mhyprot2.sys – warto bliżej przyjrzeć się tematowi…

~ms