Criminelen maken gebruik van een Microsoft-driver om beveiligingssoftware op systemen uit te schakelen en vervolgens ransomware uit te rollen, zo meldt antivirusbedrijf Sophos. De driver in kwestie is onderdeel van een oudere versie van Microsoft Process Explorer, een tool die informatie geeft over actieve processen op de computer.

Process Explorer beschikt over een gesigneerde kerneldriver waarmee het mogelijk is om processen uit te schakelen die zelfs niet door een systeembeheerder zijn uit te schakelen. Om de aanval uit te voeren en beveiligingssoftware via de Process Explorer-driver uit te schakelen moet een aanvaller wel al toegang tot het systeem hebben én over beheerdersrechten beschikken.

Normaliter heeft een aanvaller met beheerdersrechten al volledige controle over de machine. Belangrijke processen, zoals endpointbeveiliging, zijn vaak met aanvullende beveiligingsmaatregelen beschermd zodat ze niet eenvoudig zijn uit te schakelen als een aanvaller eenmaal beheerdersrechten heeft. Om deze hindernis te overkomen moet een aanvaller nog hogere rechten krijgen. Iets dat kan via een kerneldriver. Daarmee is de securitysoftware wel uit te schakelen.

Het is via de driver niet mogelijk om vanaf een standaardaccount beheerder worden. Dat moet een aanvaller op een andere manier doen, maar dat blijkt in de praktijk meestal geen probleem. Het gebruik van de Process Explorer-driver is al eerder bij aanvallen waargenomen, maar inmiddels maken ook verschillende ransomwaregroepen er gebruik van en is die onder andere bij aanvallen met de LockBit-ransomware ingezet, aldus Sophos.