微軟承認許多 Windows 11、Windows 10 WHQL 驅動程序實際上是惡意軟件

今天早些時候，微軟發布了Windows 10 (KB5028166)和Windows 11 (KB5028185)的周二補丁更新。該公司單獨宣布了新的Dynamic SafeOS 更新，旨在強化針對安全啟動漏洞的安全緩解措施。

除了對其安全啟動 DBX 進行更改之外，微軟還在其 Windows Driver.STL 撤銷列表中添加了多個惡意驅動程序。安全研究公司 Cisco Talos、Sophos 和 Trend Micro 向 Microsoft 通報了這些易受攻擊的驅動程序。

在專門的安全公告ADV230001中，Microsoft 解釋了由惡意簽名 WHQL 驅動程序導致的問題 (CVE-2023-32046)：

Microsoft 最近獲悉，經 Microsoft Windows 硬件開發人員計劃 (MWHDP) 認證的驅動程序在後利用活動中被惡意使用。在這些攻擊中，攻擊者在使用驅動程序之前獲得了受感染系統的管理權限。

Microsoft 已完成調查，並確定該活動僅限於濫用多個開發人員計劃帳戶，並且尚未發現任何 Microsoft 帳戶遭到洩露的情況。我們已暫停合作夥伴的賣家帳戶，並對所有報告的惡意驅動程序實施阻止檢測，以幫助保護客戶免受此威脅。

Microsoft 要求使用其 WHDP 程序對內核模式驅動程序進行簽名。然而，正如以前發生過的那樣，認證並不是萬無一失的方法。思科 Talos 聯繫 Neowin 解釋說，威脅行為者一直在使用 HookSignTool 等各種驅動程序簽名偽造實用程序來繞過 WHCP 措施。除了偽造簽名之外，此類實用程序還被用於對諸如 PrimoCache 之類的修補軟件進行重新簽名。

思科表示：

在我們的研究過程中，我們發現威脅行為者利用
HookSignTool 和 FuckCertVerifyTimeValidity（分別自 2019 年和 2018 年公開的簽名時間戳偽造工具）來部署這些惡意驅動程序。

HookSignTool是一種驅動程序簽名偽造工具，它通過掛鉤 Windows API 和手動更改合法代碼簽名工具的導入表的組合，在簽名過程中更改驅動程序的簽名日期。

惡意驅動程序的簽名並不是這些工具的存在引起的唯一問題。在我們的研究過程中，我們遇到 HookSignTool 在修補後被用來重新簽名驅動程序以繞過數字版權管理。

Microsoft 已通過 Windows 安全更新（Microsoft Defender 1.391.3822.0 及更高版本）將所有此類驅動程序添加到易受攻擊的驅動程序阻止列表中。

資料來源：Cisco Talos ，通過Sophos、趨勢科技