Kuzey Kore tarafından desteklendiği düşünülen Lazarus APT kümesinin, güvenlik açığı içeren Dell şoförlerini kullanarak amaç sistemlere rootkit yükledikleri ortaya çıktı. Böylelikle daha aktif bir formda kalıcılık sağlayabildikleri gözlemlendi.
Windows, kod imzasına sahip olmayan şoförlerin sisteme yüklenmesini engelleyen bir rootkit tedbire sistemine sahip. Son vakitlerde birçok saldırgan, geliştirdikleri ziyanlı şoförleri imzalatamadıkları için maksatlarında kullanmak emeliyle imzalı şoförlerin zafiyetlerini sömürüyor. Bu sayede Windows’un yerleşik tedbirleri geçilebiliyor.
ESET tarafından yayınlanan araştırma raporuna nazaran, Amazon’dan gelmiş iş teklifi üzere gözüken mail ekleriyle Hollanda’daki bir havalimanı yetkilisi ve Belçika’daki bir siyasi gazeteci gaye alındı. Amaçlar ekteki belgeyi çalıştırdığında CVE‑2021‑21551 koduyla bilinen, 2021 Mayıs’ında Dell DBUtil’de keşfedilen zafiyetli bir şoför kullanılarak sistemde kalıcılık sağlandı ve güvenlik tahlilleri kapatıldı. Windows’un dahili çekirdek güvenlik düzeneklerinin da raporda belirtildiği kadarıyla muvaffakiyetle engellendiği görülüyor.
Bu usul şoför zafiyetlerine karşı ne yazık ki biz kullanıcıların yapabileceği bir şey bulunmamakta. Geliştiricilerin mümkün mertebe inançlı yazılım geliştirmeye dikkat etmesi ve berbata kullanıldığı bilinen şoförlerin yüklenmesinin Microsoft tarafından kara listeye alınarak engellenmesi gerekiyor.
