Microsoft erkent dat veel Windows 11, Windows 10 WHQL-stuurprogramma’s eigenlijk malware waren

Eerder vandaag bracht Microsoft zijn Patch Tuesday-updates uit voor Windows 10 (KB5028166) en Windows 11 (KB5028185) . Het bedrijf maakte afzonderlijk bekend over de nieuwe Dynamic SafeOS-updates die bedoeld zijn om de beveiligingsmaatregelen tegen Secure Boot-kwetsbaarheden te versterken.

Naast wijzigingen die zijn aangebracht aan de Secure Boot DBX, heeft Microsoft ook verschillende kwaadaardige stuurprogramma’s toegevoegd aan de Windows Driver.STL-intrekkingslijst. Microsoft werd op de hoogte gebracht van deze kwetsbare stuurprogramma’s door beveiligingsonderzoeksbureaus Cisco Talos, Sophos en Trend Micro.

Op een speciaal beveiligingsadvies ADV230001 legt Microsoft het probleem uit (CVE-2023-32046) dat het gevolg was van kwaadwillig ondertekende WHQL-stuurprogramma’s:

Microsoft werd onlangs geïnformeerd dat stuurprogramma’s die zijn gecertificeerd door Microsoft’s Windows Hardware Developer Program (MWHDP) kwaadwillig werden gebruikt bij post-exploitatieactiviteiten. Bij deze aanvallen verwierf de aanvaller beheerdersrechten op gecompromitteerde systemen voordat hij de stuurprogramma’s gebruikte.

Microsoft heeft haar onderzoek afgerond en vastgesteld dat de activiteit beperkt was tot het misbruik van verschillende ontwikkelaarsprogramma-accounts en dat er geen misbruik van Microsoft-accounts is vastgesteld. We hebben de verkopersaccounts van de partners opgeschort en blokkeringsdetecties geïmplementeerd voor alle gerapporteerde kwaadwillende stuurprogramma’s om klanten te helpen beschermen tegen deze dreiging.

Microsoft vereist dat stuurprogramma’s voor de kernelmodus worden ondertekend met behulp van het WHDP-programma. Aangezien dit echter eerder is gebeurd, is de certificering geen onfeilbare methode. Cisco Talos nam contact op met Neowin en legde uit dat bedreigingsactoren verschillende hulpprogramma’s voor het vervalsen van stuurprogramma’s, zoals HookSignTool, hebben gebruikt om de WHCP-maatregelen te omzeilen. Afgezien van vervalste tekens, zijn dergelijke hulpprogramma’s ook gebruikt voor het opnieuw ondertekenen van gepatchte software zoals die van PrimoCache.

Cisco verklaarde:

Tijdens ons onderzoek hebben we bedreigingsactoren geïdentificeerd die gebruikmaken van
HookSignTool en FuckCertVerifyTimeValidity, hulpprogramma’s voor het vervalsen van handtekeningen die sinds respectievelijk 2019 en 2018 openbaar beschikbaar zijn, om deze kwaadaardige stuurprogramma’s in te zetten.

HookSignTool is een hulpprogramma voor het vervalsen van stuurprogrammahandtekeningen dat de ondertekeningsdatum van een stuurprogramma tijdens het ondertekeningsproces wijzigt door een combinatie van inhaken op de Windows API en het handmatig wijzigen van de importtabel van een legitiem hulpprogramma voor codeondertekening.

Het ondertekenen van kwaadaardige stuurprogramma’s is niet het enige probleem dat voortvloeit uit het bestaan ​​van deze tools. Tijdens ons onderzoek kwamen we tegen dat HookSignTool werd gebruikt om stuurprogramma’s opnieuw te ondertekenen nadat ze waren gepatcht om het beheer van digitale rechten te omzeilen.

Microsoft heeft al dergelijke stuurprogramma’s toegevoegd aan de blokkeringslijst voor kwetsbare stuurprogramma ’s met Windows-beveiligingsupdates (Microsoft Defender 1.391.3822.0 en nieuwer).

Bron: Cisco Talos via Sophos , Trend Micro