Nel luglio 2023, le nostre regole di comportamento proattivo sono scattate in seguito a un tentativo di caricare un driver denominato pskmad_64.sys (Panda Memory Access Driver) su un computer protetto. Il driver è di proprietà di Panda Security e viene utilizzato all’interno di molti dei suoi prodotti.
In seguito all’aumento dell’abuso di driver legittimi al fine di disabilitare i prodotti EDR (un problema che abbiamo esaminato nel nostro articolo sui driver firmati Microsoft compromessi diversi mesi fa) e al contesto in cui era stato caricato il driver, abbiamo iniziato a indagare e ad approfondire il file.
Dopo una nuova valutazione e il coinvolgimento del cliente, l’incidente originale è stato identificato come un test di simulazione APT. Le nostre indagini, tuttavia, hanno portato alla scoperta di tre vulnerabilità distinte che abbiamo segnalato al team di sicurezza di Panda. Queste vulnerabilità, ora classificate come CVE-2023-6330, CVE-2023-6331 e CVE-2023-6332, sono state risolte dall’azienda. Le informazioni fornite da Panda sulle vulnerabilità e le relative correzioni sono disponibili come indicato di seguito per ogni CVE.
Controlla qui le informazioni più approfondite relative alle tre vulnerabilità.
Lascia un commento