A line of traffic cones with a vehicle driving in the background away from the camera
Ricerche sulle CyberMinacce

Lezioni di guida: i driver del kernel in Sophos Intercept X Advanced

Operare nel kernel-space è necessario, ma rischioso: ecco come farlo in Sophos Intercept X Advanced

Il funzionamento nel “kernel-space” – il livello più privilegiato di un sistema operativo, con accesso diretto alla memoria, all’hardware, alla gestione delle risorse e allo storage – è di vitale importanza per i prodotti di sicurezza. Permette loro di monitorare lo “spazio utente” – l’ambiente non privilegiato in cui vengono eseguite le applicazioni – e di proteggere dal malware che viene eseguito in quell’ambiente, anche quando cerca di eludere il rilevamento. Ma l’accesso al kernel consente anche ai prodotti di sicurezza di contrastare minacce più insidiose all’interno del kernel stesso. Come abbiamo riportato in precedenza, ad esempio, alcuni aggressori utilizzano attacchi BYOVD (Bring Your Own Vulnerable Driver) o tentano di far firmare in maniera cifrata i propri driver dannosi per accedere al kernel-space e sfruttare l’elevato livello di accesso.

Tuttavia, dal punto di vista della security, lavorare nel kernel-space comporta dei rischi. Un passo falso (come un aggiornamento errato di un driver del kernel) può causare interruzioni. Se il driver in questione si avvia al boot, quando il sistema operativo viene caricato per la prima volta, questo può portare a impatti prolungati, richiedendo potenzialmente l’avvio degli host interessati in una modalità di ripristino per mitigare il problema e consentire alle macchine di avviarsi normalmente.

Il prodotto Intercept X Advanced di Sophos utilizza cinque driver del kernel a partire dalla release 2024.2. Essi sono stati ampiamente testati* con i flag applicabili abilitati e disabilitati e vengono forniti con i nuovi flag disabilitati. (Sophos Intercept X e Sophos Central utilizzano i flag di funzionalità per abilitare gradualmente nuove funzionalità. Questi ultimi vengono distribuiti tramite Sophos Central. Le nuove caratteristiche sono tipicamente “protette” dai flag di funzionalità – disattivate a meno che non siano abilitate – in modo che la feature possa essere distribuita gradualmente e potenzialmente rivista prima di un’abilitazione più ampia).

In questo articolo, nell’interesse della trasparenza, esploreremo quali sono questi driver, cosa fanno, quando si avviano, come vengono firmati e quali sono i loro input.

Leggi tutto l’articolo qui.