Microsoft는 많은 Windows 11, Windows 10 WHQL 드라이버가 실제로 맬웨어임을 인정합니다.

오늘 일찍 Microsoft는 Windows 10(KB5028166) 및 Windows 11(KB5028185) 용 패치 화요일 업데이트를 발표했습니다 . 이 회사는 Secure Boot 취약성에 대해 적용된 보안 완화를 강화하기 위한 새로운 Dynamic SafeOS 업데이트 에 대해 별도로 발표했습니다.

보안 부팅 DBX에 대한 변경 사항과 함께 Microsoft는 Windows Driver.STL 취소 목록에 몇 가지 악성 드라이버를 추가했습니다. 보안 연구 회사인 Cisco Talos, Sophos 및 Trend Micro는 Microsoft에 이러한 취약한 드라이버에 대한 정보를 제공했습니다.

전용 보안 권고 ADV230001 에서 Microsoft는 악의적으로 서명된 WHQL 드라이버의 결과인 문제(CVE-2023-32046)를 설명합니다.

Microsoft는 최근 Microsoft의 Windows 하드웨어 개발자 프로그램(MWHDP)에서 인증한 드라이버가 악용 후 활동에서 악의적으로 사용되고 있다는 정보를 받았습니다. 이러한 공격에서 공격자는 드라이버를 사용하기 전에 손상된 시스템에 대한 관리 권한을 얻었습니다.

Microsoft는 조사를 완료했으며 활동이 여러 개발자 프로그램 계정의 남용으로 제한되었으며 Microsoft 계정 손상이 확인되지 않았음을 확인했습니다. 이 위협으로부터 고객을 보호하기 위해 파트너의 판매자 계정을 일시 중지하고 보고된 모든 악성 드라이버에 대한 차단 탐지를 구현했습니다.

Microsoft는 WHDP 프로그램을 사용하여 서명된 커널 모드 드라이버를 요구했습니다. 그러나 이전에 이런 일이 발생했기 때문에 인증은 절대 안전한 방법이 아닙니다. Cisco Talos는 Neowin에 연락하여 위협 행위자가 WHCP 조치를 우회하기 위해 HookSignTool과 같은 다양한 드라이버 서명 위조 유틸리티를 사용하고 있다고 설명했습니다. 위조된 서명 외에도 이러한 유틸리티는 PrimoCache와 같은 패치된 소프트웨어를 재서명하는 데 사용되었습니다.

시스코는 다음과 같이 말했습니다.

조사 중에
각각 2019년과 2018년부터 공개적으로 사용 가능한 서명 타임스탬프 위조 도구인 HookSignTool 및 FuckCertVerifyTimeValidity를 활용하여 이러한 악성 드라이버를 배포하는 위협 행위자를 식별했습니다.

HookSignTool 은 Windows API에 연결하고 합법적인 코드 서명 도구의 가져오기 테이블을 수동으로 변경하는 조합을 통해 서명 프로세스 중에 드라이버의 서명 날짜를 변경하는 드라이버 서명 위조 도구입니다.

악성 드라이버의 서명은 이러한 도구의 존재로 인해 발생하는 유일한 문제가 아닙니다. 조사 중에 디지털 권한 관리를 우회하도록 패치된 후 드라이버를 다시 서명하는 데 사용되는 HookSignTool을 발견했습니다.

Microsoft는 이러한 모든 드라이버를 Windows 보안 업데이트(Microsoft Defender 1.391.3822.0 이상)와 함께 취약한 드라이버 차단 목록 에 추가했습니다.

출처: Sophos를 통한 Cisco Talos , Trend Micro