A Microsoft reconhece que muitos drivers WHQL do Windows 11 e Windows 10 eram realmente malware

Hoje cedo, a Microsoft lançou suas atualizações do Patch Tuesday para Windows 10 (KB5028166) e Windows 11 (KB5028185) . A empresa anunciou separadamente sobre as novas atualizações do Dynamic SafeOS destinadas a fortalecer as mitigações de segurança implementadas contra as vulnerabilidades do Secure Boot.

Juntamente com as alterações feitas em seu Secure Boot DBX, a Microsoft também adicionou vários drivers maliciosos à sua lista de revogação do Windows Driver.STL. A Microsoft foi informada sobre esses drivers vulneráveis ​​pelas empresas de pesquisa de segurança Cisco Talos, Sophos e Trend Micro.

Em um comunicado de segurança dedicado ADV230001 , a Microsoft explica o problema (CVE-2023-32046) que foi resultado de drivers WHQL assinados de forma maliciosa:

A Microsoft foi recentemente informada de que drivers certificados pelo Windows Hardware Developer Program (MWHDP) da Microsoft estavam sendo usados ​​maliciosamente em atividades pós-exploração. Nesses ataques, o invasor obtém privilégios administrativos nos sistemas comprometidos antes de usar os drivers.

A Microsoft concluiu sua investigação e determinou que a atividade estava limitada ao abuso de várias contas de programas de desenvolvedores e que nenhum comprometimento de conta da Microsoft foi identificado. Suspendemos as contas de vendedor dos parceiros e implementamos detecções de bloqueio para todos os drivers maliciosos relatados para ajudar a proteger os clientes dessa ameaça.

A Microsoft exigiu que os drivers do modo kernel fossem assinados usando seu programa WHDP. No entanto, como isso já aconteceu antes, a certificação não é um método infalível. O Cisco Talos entrou em contato com a Neowin explicando que os agentes de ameaças têm usado vários utilitários de falsificação de assinatura de driver, como o HookSignTool, para contornar as medidas WHCP. Além de sinais forjados, esses utilitários também foram usados ​​para assinar novamente softwares corrigidos como o PrimoCache.

Cisco declarou:

Durante nossa pesquisa, identificamos agentes de ameaças que utilizam
HookSignTool e FuckCertVerifyTimeValidity, ferramentas de forjamento de carimbo de data/hora de assinatura que estão disponíveis publicamente desde 2019 e 2018, respectivamente, para implantar esses drivers maliciosos.

HookSignTool é uma ferramenta de falsificação de assinatura de driver que altera a data de assinatura de um driver durante o processo de assinatura por meio de uma combinação de conexão com a API do Windows e alteração manual da tabela de importação de uma ferramenta legítima de assinatura de código.

A assinatura de drivers maliciosos não é o único problema que surge da existência dessas ferramentas. Durante nossa pesquisa, encontramos o HookSignTool sendo usado para assinar novamente os drivers depois de ser corrigido para ignorar o gerenciamento de direitos digitais.

A Microsoft adicionou todos esses drivers à lista de bloqueio de driver vulnerável com atualizações de segurança do Windows (Microsoft Defender 1.391.3822.0 e mais recente).

Fonte: Cisco Talos via Sophos , Trend Micro