微軟承認許多 Windows 11、Windows 10 WHQL 驅動程序實際上是惡意軟件
今天早些時候,微軟發布了Windows 10 (KB5028166)和Windows 11 (KB5028185)的周二補丁更新。該公司單獨宣布了新的Dynamic SafeOS 更新,旨在強化針對安全啟動漏洞的安全緩解措施。
除了對其安全啟動 DBX 進行更改之外,微軟還在其 Windows Driver.STL 撤銷列表中添加了多個惡意驅動程序。安全研究公司 Cisco Talos、Sophos 和 Trend Micro 向 Microsoft 通報了這些易受攻擊的驅動程序。
在專門的安全公告ADV230001中,Microsoft 解釋了由惡意簽名 WHQL 驅動程序導致的問題 (CVE-2023-32046):
Microsoft 最近獲悉,經 Microsoft Windows 硬件開發人員計劃 (MWHDP) 認證的驅動程序在後利用活動中被惡意使用。在這些攻擊中,攻擊者在使用驅動程序之前獲得了受感染系統的管理權限。
Microsoft 已完成調查,並確定該活動僅限於濫用多個開發人員計劃帳戶,並且尚未發現任何 Microsoft 帳戶遭到洩露的情況。我們已暫停合作夥伴的賣家帳戶,並對所有報告的惡意驅動程序實施阻止檢測,以幫助保護客戶免受此威脅。
Microsoft 要求使用其 WHDP 程序對內核模式驅動程序進行簽名。然而,正如以前發生過的那樣,認證並不是萬無一失的方法。思科 Talos 聯繫 Neowin 解釋說,威脅行為者一直在使用 HookSignTool 等各種驅動程序簽名偽造實用程序來繞過 WHCP 措施。除了偽造簽名之外,此類實用程序還被用於對諸如 PrimoCache 之類的修補軟件進行重新簽名。
思科表示:
在我們的研究過程中,我們發現威脅行為者利用
HookSignTool 和 FuckCertVerifyTimeValidity(分別自 2019 年和 2018 年公開的簽名時間戳偽造工具)來部署這些惡意驅動程序。HookSignTool是一種驅動程序簽名偽造工具,它通過掛鉤 Windows API 和手動更改合法代碼簽名工具的導入表的組合,在簽名過程中更改驅動程序的簽名日期。
惡意驅動程序的簽名並不是這些工具的存在引起的唯一問題。在我們的研究過程中,我們遇到 HookSignTool 在修補後被用來重新簽名驅動程序以繞過數字版權管理。
Microsoft 已通過 Windows 安全更新(Microsoft Defender 1.391.3822.0 及更高版本)將所有此類驅動程序添加到易受攻擊的驅動程序阻止列表中。
資料來源:Cisco Talos ,通過Sophos、趨勢科技
發佈留言