Microsoft、多くの Windows 11、Windows 10 WHQL ドライバーが実際にはマルウェアであったことを認める

本日、Microsoft はWindows 10 (KB5028166)およびWindows 11(KB5028185)用の Patch Tuesday アップデートをリリースしました。同社は、セキュア ブートの脆弱性に対するセキュリティ緩和策を強化することを目的とした新しい動的 SafeOS アップデートについて別途発表しました。

セキュア ブート DBX に加えられた変更に加えて、Microsoft は Windows Driver.STL 失効リストにいくつかの悪意のあるドライバーも追加しました。Microsoft は、セキュリティ調査会社 Cisco Talos、Sophos、および Trend Micro からこれらの脆弱な要因について知らされました。

Microsoft は、専用のセキュリティ アドバイザリADV230001で、悪意を持って署名された WHQL ドライバーが原因で発生した問題 (CVE-2023-32046) について説明しています。

Microsoft は最近、Microsoft の Windows Hardware Developer Program (MWHDP) によって認定されたドライバーがエクスプロイト後の活動で悪意を持って使用されているとの報告を受けました。これらの攻撃では、攻撃者はドライバーを使用する前に、侵害されたシステムの管理者権限を取得しました。

Microsoft は調査を完了し、この活動は複数の開発者プログラム アカウントの悪用に限定されており、Microsoft アカウントの侵害は確認されていないと判断しました。この脅威から顧客を保護するために、パートナーの販売者アカウントを停止し、報告されたすべての悪意のあるドライバーのブロック検出を実装しました。

Microsoft は、カーネル モード ドライバーが自社の WHDP プログラムを使用して署名されることを要求しています。ただし、以前にもこのようなことがあったように、認証は確実な方法ではありません。Cisco Talos は Neowin に連絡し、脅威アクターが HookSignTool などのさまざまなドライバー署名偽造ユーティリティを使用して WHCP 対策を回避していると説明しました。偽造された署名とは別に、このようなユーティリティは、PrimoCache のようなパッチが適用されたソフトウェアの再署名にも使用されています。

シスコは次のように述べています。

私たちの調査中に、
これらの悪意のあるドライバーを展開するために、それぞれ 2019 年と 2018 年から一般公開されている署名タイムスタンプ偽造ツールである HookSignTool と FunnyCertVerifyTimeValidity を利用している脅威アクターを特定しました。

HookSignToolは、Windows API へのフックと正規のコード署名ツールのインポート テーブルの手動変更を組み合わせて、署名プロセス中にドライバーの署名日付を変更するドライバー署名偽造ツールです。

これらのツールの存在によって生じる問題は、悪意のあるドライバーの署名だけではありません。調査中に、デジタル著作権管理をバイパスするパッチが適用された後、ドライバーの再署名に HookSignTool が使用されていることに遭遇しました。

Microsoft は、Windows セキュリティ更新プログラム (Microsoft Defender 1.391.3822.0 以降) で、このようなドライバーをすべて脆弱性ドライバーのブロックリストに追加しました。

出典: Cisco Talos ( Sophos、Trend Micro経由)