Microsoft reconoce que muchos controladores WHQL de Windows 11 y Windows 10 eran en realidad malware

Hoy temprano, Microsoft lanzó sus actualizaciones de Patch Tuesday para Windows 10 (KB5028166) y Windows 11 (KB5028185) . La compañía anunció por separado las nuevas actualizaciones de Dynamic SafeOS destinadas a fortalecer las mitigaciones de seguridad implementadas contra las vulnerabilidades de arranque seguro.

Junto con los cambios realizados en su DBX de arranque seguro, Microsoft también agregó varios controladores maliciosos a su lista de revocación de Windows Driver.STL. Microsoft fue informado de estos controladores vulnerables por las firmas de investigación de seguridad Cisco Talos, Sophos y Trend Micro.

En un aviso de seguridad ADV230001 dedicado , Microsoft explica el problema (CVE-2023-32046) que fue el resultado de controladores WHQL firmados de forma malintencionada:

Recientemente se informó a Microsoft que los controladores certificados por el Programa de desarrollo de hardware de Windows (MWHDP) de Microsoft se estaban utilizando de forma malintencionada en actividades posteriores a la explotación. En estos ataques, el atacante obtuvo privilegios administrativos en los sistemas comprometidos antes de usar los controladores.

Microsoft completó su investigación y determinó que la actividad se limitó al abuso de varias cuentas de programas de desarrolladores y que no se identificó ningún compromiso de cuenta de Microsoft. Suspendimos las cuentas de vendedor de los socios e implementamos detecciones de bloqueo para todos los controladores maliciosos informados para ayudar a proteger a los clientes de esta amenaza.

Microsoft ha requerido que los controladores en modo kernel se firmen mediante su programa WHDP. Sin embargo, como ha sucedido antes, la certificación no es un método infalible. Cisco Talos se puso en contacto con Neowin y le explicó que los actores de amenazas han estado utilizando varias utilidades de falsificación de firmas de controladores como HookSignTool para eludir las medidas de WHCP. Aparte de los signos falsificados, estas utilidades también se han utilizado para volver a firmar software parcheado como el de PrimoCache.

Cisco declaró:

Durante nuestra investigación, identificamos actores de amenazas que aprovechan
HookSignTool y FuckCertVerifyTimeValidity, herramientas de falsificación de marcas de tiempo de firmas que han estado disponibles públicamente desde 2019 y 2018 respectivamente, para implementar estos controladores maliciosos.

HookSignTool es una herramienta de falsificación de firmas de controladores que altera la fecha de firma de un controlador durante el proceso de firma a través de una combinación de vinculación a la API de Windows y alteración manual de la tabla de importación de una herramienta de firma de código legítima.

La firma de controladores maliciosos no es el único problema que surge de la existencia de estas herramientas. Durante nuestra investigación, encontramos que HookSignTool se usaba para volver a firmar controladores después de que se aplicaron parches para evitar la administración de derechos digitales.

Microsoft ha agregado todos esos controladores a la lista de bloqueo de controladores vulnerables con las actualizaciones de seguridad de Windows (Microsoft Defender 1.391.3822.0 y posteriores).

Fuente: Cisco Talos a través de Sophos , Trend Micro