Microsoft riconosce che molti driver WHQL di Windows 11 e Windows 10 erano in realtà malware

Oggi, Microsoft ha rilasciato gli aggiornamenti Patch Tuesday per Windows 10 (KB5028166) e Windows 11 (KB5028185) . La società ha annunciato separatamente i nuovi aggiornamenti di Dynamic SafeOS pensati per rafforzare le mitigazioni di sicurezza messe in atto contro le vulnerabilità di Secure Boot.

Oltre alle modifiche apportate al suo Secure Boot DBX, Microsoft ha anche aggiunto diversi driver dannosi all’elenco di revoche di Windows Driver.STL. Microsoft è stata informata di questi driver vulnerabili dalle società di ricerca sulla sicurezza Cisco Talos, Sophos e Trend Micro.

In un avviso di sicurezza dedicato ADV230001 , Microsoft spiega il problema (CVE-2023-32046) che era il risultato di driver WHQL firmati male:

Microsoft è stata recentemente informata che i driver certificati dal Windows Hardware Developer Program (MWHDP) di Microsoft venivano utilizzati in modo dannoso nell’attività post-sfruttamento. In questi attacchi, l’attaccante ha ottenuto privilegi amministrativi sui sistemi compromessi prima di utilizzare i driver.

Microsoft ha completato la sua indagine e ha stabilito che l’attività era limitata all’abuso di diversi account del programma per sviluppatori e che non è stata identificata alcuna compromissione dell’account Microsoft. Abbiamo sospeso gli account venditore dei partner e implementato i rilevamenti di blocco per tutti i driver dannosi segnalati per aiutare a proteggere i clienti da questa minaccia.

Microsoft ha richiesto la firma dei driver in modalità kernel utilizzando il suo programma WHDP. Tuttavia, poiché ciò è già accaduto, la certificazione non è un metodo infallibile. Cisco Talos ha contattato Neowin spiegando che gli attori delle minacce hanno utilizzato varie utilità di forgiatura della firma del driver come HookSignTool per aggirare le misure WHCP. A parte i segni contraffatti, tali utilità sono state utilizzate anche per firmare nuovamente software con patch come quello di PrimoCache.

Cisco ha dichiarato:

Durante la nostra ricerca abbiamo identificato gli attori delle minacce che sfruttano
HookSignTool e FuckCertVerifyTimeValidity, strumenti di contraffazione del timestamp della firma che sono stati pubblicamente disponibili rispettivamente dal 2019 e dal 2018, per distribuire questi driver dannosi.

HookSignTool è uno strumento di forgiatura della firma del driver che altera la data di firma di un driver durante il processo di firma tramite una combinazione di aggancio all’API di Windows e alterazione manuale della tabella di importazione di uno strumento di firma del codice legittimo.

La firma di driver dannosi non è l’unico problema derivante dall’esistenza di questi strumenti. Durante la nostra ricerca, abbiamo riscontrato che HookSignTool veniva utilizzato per firmare nuovamente i driver dopo essere stati patchati per aggirare la gestione dei diritti digitali.

Microsoft ha aggiunto tutti questi driver alla Blocklist dei driver vulnerabili con gli aggiornamenti di sicurezza di Windows (Microsoft Defender 1.391.3822.0 e versioni successive).

Fonte: Cisco Talos tramite Sophos , Trend Micro