Microsoft reconnaît que de nombreux pilotes Windows 11 et Windows 10 WHQL étaient en fait des logiciels malveillants

Plus tôt dans la journée, Microsoft a publié ses mises à jour Patch Tuesday pour Windows 10 (KB5028166) et Windows 11 (KB5028185) . La société a annoncé séparément les nouvelles mises à jour de Dynamic SafeOS destinées à renforcer les mesures de sécurité mises en place contre les vulnérabilités de Secure Boot.

Parallèlement aux modifications apportées à son Secure Boot DBX, Microsoft a également ajouté plusieurs pilotes malveillants à sa liste de révocation Windows Driver.STL. Microsoft a été informé de ces pilotes vulnérables par les sociétés de recherche en sécurité Cisco Talos, Sophos et Trend Micro.

Dans un avis de sécurité dédié ADV230001 , Microsoft explique le problème (CVE-2023-32046) qui résultait de pilotes WHQL signés de manière malveillante :

Microsoft a récemment été informé que des pilotes certifiés par le programme de développement de matériel Windows (MWHDP) de Microsoft étaient utilisés à des fins malveillantes dans les activités de post-exploitation. Dans ces attaques, l’attaquant a obtenu des privilèges administratifs sur les systèmes compromis avant d’utiliser les pilotes.

Microsoft a terminé son enquête et déterminé que l’activité se limitait à l’abus de plusieurs comptes de programme de développeur et qu’aucun compromis de compte Microsoft n’a été identifié. Nous avons suspendu les comptes vendeurs des partenaires et mis en place des détections de blocage pour tous les pilotes malveillants signalés afin de protéger les clients contre cette menace.

Microsoft a exigé que les pilotes en mode noyau soient signés à l’aide de son programme WHDP. Cependant, comme cela s’est produit auparavant, la certification n’est pas une méthode infaillible. Cisco Talos a contacté Neowin pour expliquer que les acteurs de la menace utilisaient divers utilitaires de falsification de signature de pilote comme HookSignTool pour contourner les mesures WHCP. Outre les signes falsifiés, ces utilitaires ont également été utilisés pour re-signer des logiciels corrigés comme celui de PrimoCache.

Cisco a déclaré :

Au cours de nos recherches, nous avons identifié des acteurs malveillants utilisant
HookSignTool et FuckCertVerifyTimeValidity, des outils de falsification d’horodatage de signature qui sont accessibles au public depuis 2019 et 2018 respectivement, pour déployer ces pilotes malveillants.

HookSignTool est un outil de falsification de signature de pilote qui modifie la date de signature d’un pilote pendant le processus de signature en combinant l’accrochage à l’API Windows et la modification manuelle de la table d’importation d’un outil de signature de code légitime.

La signature de pilotes malveillants n’est pas le seul problème qui découle de l’existence de ces outils. Au cours de nos recherches, nous avons rencontré HookSignTool utilisé pour re-signer les pilotes après avoir été corrigé pour contourner la gestion des droits numériques.

Microsoft a ajouté tous ces pilotes à la liste de blocage des pilotes vulnérables avec les mises à jour de sécurité Windows (Microsoft Defender 1.391.3822.0 et versions ultérieures).

Source : Cisco Talos via Sophos , Trend Micro