Teknoloji Dünyası – Teknoloji Haberleri – Teknoyigit.com
Kötü oyuncular, ‘mhyprot2.sys’ sürücüsündeki güvenlik açığından aktif olarak yararlanıyor
Hile önleme yazılımı, çok oyunculu bir oyunun bütünlüğünü korumak için hayati önem taşır. Ancak, çekirdek düzeyinde kök ayrıcalıklarına erişimi olan sistemler tehlikelidir. Güvenlik araştırmacıları, bu tür hile azaltma ilk olarak başını kaldırdığı ve şimdi vahşi ortamda sömürüldüğü için bu konuda uyardı.
En az bir bilgisayar korsanı, fidye yazılımının toplu olarak dağıtılmasına yardımcı olmak için son derece popüler, oynaması ücretsiz MMOPRG Genshin Impact’te bulunan hile önleme yazılımını kullanıyor. Dosya ‘mhyprot2.sys’ olarak adlandırılır ve bir hile karşıtı sürücü olarak tanımlanır.
Antivirüs satıcısı Trend Micro, sistemleri uç nokta korumasını uygun şekilde yapılandırmış olmasına rağmen fidye yazılımının kurbanı olan bir müşteriden Temmuz ayında bir rapor aldı. Trend Micro araştırmacıları saldırıyı incelediklerinde, bir bilgisayar korsanının ayrıcalıkları atlamak ve çekirdek komutlarıyla virüs korumasını öldürmek için kod imzalı bir sürücü olan mhyprot2.sys kullandığını keşfettiler .
Cuma günü itibariyle mhyprot2.sys için kod imzalama sertifikası hala geçerlidir. Böylece Windows onu güvenilir olarak tanıyacaktır. Ayrıca, sürücü istismarının çalışması için Genshin Impact’in yüklenmesi gerekmez. Kötü niyetli aktörler bunu bağımsız olarak kullanabilir ve herhangi bir kötü amaçlı yazılıma mhyprot2.sys ekleyebilir.
Sürücü 2020’den beri piyasada ve bir GitHub geliştiricisi, birinin antivirüs sistemleri de dahil olmak üzere sistem işlemlerini kapatmak için mhyprot2.sys’i nasıl kötüye kullanabileceğini gösteren bir kavram kanıtı bile yaptı. Ancak Trend Micro, birinin sürücüyü vahşi doğada kötü niyetli bir şekilde kullandığını ilk kez fark ettiğini söyledi.
Raporda, “Bu fidye yazılımı, yalnızca not ettiğimiz ilk kötü amaçlı etkinlik örneğiydi” diyor. “Tehdit aktörü, fidye yazılımı kurbanın cihazına yerleştirmeyi ve ardından enfeksiyonu yaymayı amaçladı. mhyprot2.sys herhangi bir kötü amaçlı yazılıma entegre edilebildiğinden, sürücünün kapsamını belirlemek için araştırmaları sürdürüyoruz.”
Trend Micro, Genshin Impact stüdyosu miHoYo’ya güvenlik açığını bildirdi ve geliştiriciler bir düzeltme üzerinde çalışıyor. Sorun şu ki, bilgisayar korsanları sürücüyü bağımsız olarak dağıtabildiğinden, herhangi bir yama yalnızca oyun yüklü olanları etkileyecektir. Ayrıca, bilgisayar korsanları muhtemelen eski sürümleri topluluklarında yıllarca geçireceklerdir.
Trend Micro, sürücüyü azaltmak için virüsten koruma yazılımında belirli düzeltmeler yaptığını, ancak diğer virüs koruma paketlerinin, özellikle algılamak üzere yapılandırılmadığı sürece mhyprot2.sys’i kaçırabileceğini belirtiyor .
Trend Micro’dan Jamz Yaneza PCMag’e verdiği demeçte, “Tüm güvenlik ürünleri aynı şekilde dağıtılmıyor ve yığının farklı seviyelerinde sertifika kontrolüne sahip olabilir veya hiç kontrol etmeyebilir” dedi.
Diğer antivirüs satıcılarının yetişmesi biraz zaman alabilir. Bu arada, güvenlik araştırmacısı Kevin Beaumont, güvenlik paketinizde karma engelleme varsa, dalgıcın karma değerini (yukarıda) engellemenizi önerir.
