Microsoft przyznaje, że wiele sterowników Windows 11, Windows 10 WHQL było w rzeczywistości złośliwym oprogramowaniem

W dniu dzisiejszym firma Microsoft udostępniła aktualizacje Patch Tuesday dla systemów Windows 10 (KB5028166) i Windows 11 (KB5028185) . Firma osobno ogłosiła nowe aktualizacje Dynamic SafeOS , których celem jest wzmocnienie zabezpieczeń wprowadzonych przeciwko lukom w zabezpieczeniach bezpiecznego rozruchu.

Oprócz zmian wprowadzonych w Bezpiecznym rozruchu DBX, Microsoft dodał również kilka złośliwych sterowników do swojej listy odwołań Windows Driver.STL. Firma Microsoft została poinformowana o tych wrażliwych sterownikach przez firmy zajmujące się badaniami nad bezpieczeństwem Cisco Talos, Sophos i Trend Micro.

W dedykowanym poradniku bezpieczeństwa ADV230001 firma Microsoft wyjaśnia problem (CVE-2023-32046), który był wynikiem złośliwie podpisanych sterowników WHQL:

Firma Microsoft została niedawno poinformowana, że ​​sterowniki certyfikowane przez program Windows Hardware Developer Program (MWHDP) firmy Microsoft były wykorzystywane złośliwie w działaniach poeksploatacyjnych. W tych atakach atakujący uzyskiwał uprawnienia administracyjne w zaatakowanych systemach przed użyciem sterowników.

Firma Microsoft zakończyła dochodzenie i ustaliła, że ​​działanie ograniczało się do nadużyć na kilku kontach programów dla programistów i że nie zidentyfikowano żadnego naruszenia bezpieczeństwa konta Microsoft. Zawiesiliśmy konta sprzedawców partnerów i wdrożyliśmy wykrywanie blokad dla wszystkich zgłoszonych złośliwych sterowników, aby pomóc chronić klientów przed tym zagrożeniem.

Firma Microsoft wymagała, aby sterowniki trybu jądra były podpisywane za pomocą programu WHDP. Jednak, jak to miało miejsce wcześniej, certyfikacja nie jest metodą niezawodną. Cisco Talos skontaktował się z Neowin, wyjaśniając, że cyberprzestępcy używają różnych narzędzi do fałszowania sygnatur sterowników, takich jak HookSignTool, aby ominąć środki WHCP. Oprócz sfałszowanych znaków, takie narzędzia były również używane do ponownego podpisywania poprawionego oprogramowania, takiego jak PrimoCache.

Cisco stwierdził:

Podczas naszych badań zidentyfikowaliśmy cyberprzestępców wykorzystujących
HookSignTool i FuckCertVerifyTimeValidity, narzędzia do fałszowania sygnatur czasowych, które są publicznie dostępne odpowiednio od 2019 i 2018 r., do wdrażania tych złośliwych sterowników.

HookSignTool to narzędzie do fałszowania podpisów sterowników, które zmienia datę podpisania sterownika podczas procesu podpisywania poprzez połączenie połączenia z interfejsem API systemu Windows i ręcznej zmiany tabeli importu legalnego narzędzia do podpisywania kodu.

Podpisywanie złośliwych sterowników nie jest jedynym problemem wynikającym z istnienia tych narzędzi. Podczas naszych badań zauważyliśmy, że narzędzie HookSignTool jest używane do ponownego podpisywania sterowników po zainstalowaniu poprawki w celu ominięcia zarządzania prawami cyfrowymi.

Firma Microsoft dodała wszystkie takie sterowniki do listy blokowania narażonych sterowników wraz z aktualizacjami zabezpieczeń systemu Windows (Microsoft Defender 1.391.3822.0 i nowsze).

Źródło: Cisco Talos za pośrednictwem Sophos , Trend Micro