В декабре прошлого года Microsoft совместно с SentinelOne, Mandiant и Sophos отреагировала на проблему, в которой драйверы, сертифицированные в рамках программы Microsoft Windows Hardware Developer Program, использовались для проверки вредоносного ПО.
К сожалению, проблема не исчезла. Эксперт по безопасности Кевин Бомонт заметил: «Microsoft все еще подписывает драйверы ядра вредоносных программ цифровой подписью, поскольку не может идентифицировать их (это происходит снова и снова)».
Бомонт привел три примера троянов, которые были подтверждены Microsoft как легитимное программное обеспечение.
В ответ на запрос по электронной почте от ITShaman, представитель Microsoft признал наличие проблемы, заявив: «Мы приостановили учетные записи продавцов партнеров. Кроме того, антивирус Microsoft Defender обеспечивает блокировку обнаружения этих файлов.»
Основная проблема остается – и Microsoft смогла приостановить только отдельных нарушителей.
Реакция Microsoft
В руководстве, впервые опубликованном 13 декабря 2022 года,компания заявила, что Microsoft была проинформирована о том, что драйверы, сертифицированные в рамках программы Microsoft Windows Hardware Developer Program, использовались злонамеренно в действиях после эксплуатации. В этих атаках злоумышленник уже получил административные привилегии на взломанных системах до использования драйверов.
Микрософт была уведомлена о проблеме компаниями SentinelOne, Mandiant и Sophos в октябре 2022 года и начала расследование. «В ходе расследования выяснилось, что несколько учетных записей разработчиков в Microsoft Partner Center участвовали в отправке вредоносных драйверов для получения подписи Microsoft», – добавили в компании. «Новая попытка отправить вредоносный драйвер на подпись 29 сентября 2022 года привела к приостановке учетных записей продавцов в начале октября».»
Согласно более недавнему объяснению представителя Microsoft, в то время были выпущены обновления безопасности Windows, отзывающие сертификат для конкретных файлов, учетные записи продавцов партнеров были приостановлены, а блокирующие обнаружения Microsoft Defender были обновлены для обнаружения конкретных драйверов, которые были использованы с вредоносным умыслом.
Подпись кода Потеря эффективности
В то время отмечалось, что угрозы, которые ранее использовали сертификаты, подписанные менее авторитетными компаниями в подобных атаках, «продвигаются вверх по пирамиде доверия, пытаясь использовать все более надежные криптографические ключи для цифровой подписи своих драйверов. Подписи от крупного, заслуживающего доверия издателя программного обеспечения повышают вероятность того, что драйвер загрузится в Windows без проблем.»
А исследователь из SentinelOne отметил, что это не первый случай, когда Microsoft столкнулась с этой проблемой
В июне 2021 года GData опубликовала в блоге о вредоносном рутките Netfilter, подписанном с помощью того же процесса. Снижение эффективности подписи кода представляет угрозу для безопасности и механизмов проверки на всех уровнях ОС. Мы надеемся, что Microsoft предпримет шаги для рассмотрения дальнейших усовершенствований, чтобы повысить безопасность процесса подписания, чтобы помочь сохранить неявное доверие к драйверам, подписанным Microsoft.
- добавил исследователь из SentinelOne
Комментарии (0)