Najważniejsze informacje:
- Cisco Talos wykrył grupy cyberprzestępców wykorzystujące lukę, która pozwala na podpisywanie i uruchamianie podpisanych krzyżowo sterowników jądra systemu operacyjnego
- Przestępcy wykorzystują narzędzia open-source, które zmieniają datę podpisania sterowników w celu załadowania złośliwych i niezweryfikowanych sterowników podpisanych wygasłymi certyfikatami.
- Zespół Cisco Talos wykrył na GitHub kilkanaście certyfikatów z kluczami i hasłami zawartymi w pliku PFX, używanych w połączeniu z narzędziami open-source.
- Większość zidentyfikowanych sterowników, które zawierały kod języka w swoich metadanych, była napisana po chińsku.
- Cisco Talos zidentyfikowało również przypadek wykorzystania jednego z tych narzędzi open-source do ponownego podpisania scrackowanych sterowników w celu ominięcia cyfrowego zarządzania prawami (DRM).
- Microsoft w odpowiedzi na zgłoszenie zespołu Talos zablokował wszystkie niebezpieczne certyfikaty. Więcej informacji na temat działań Microsoft można znaleźć w opublikowanym poradniku.
Warszawa, 13 lipca 2023 – Luka w Windows umożliwia fałszowanie znaczników czasowych sterowników, umożliwiając w ten sposób działanie szkodliwego oprogramowania. W wersji 1607, Microsoft zaktualizował swoje zasady tak, aby nie dopuszczać do jądra systemu sterowników, które nie zostały oficjalnie przesłane i zweryfikowane za pośrednictwem portalu dla programistów Microsoftu. Proces ten miał zapewnić, że sterowniki spełniają wymagania i standardy bezpieczeństwa firmy, jednak stworzył jednocześnie wyjątek dla starszego oprogramowania. Zespół Cisco Talos zaobserwował chińskojęzyczne grupy wykorzystujące tę lukę do ataków z użyciem tysięcy złośliwych sterowników.
Aby starsze sterowniki działały należycie, potrzebna jest odpowiednia konfiguracja systemu. Obecnie oznacza ona, że:
- Komputer został zaktualizowany do systemu Windows 10 w wersji 1607.
- Funkcja Secure Boot jest wyłączona w BIOS-ie.
- Sterowniki zostały podpisane certyfikatem podmiotu końcowego wydanym przed 29 lipca 2015 r., który łączy się z obsługiwanym urzędem certyfikacji z podpisem krzyżowym.
Trzecia z zasad poskutkowała luką, która pozwala na podpisywanie nowych sterowników za pomocą nieodwołanych certyfikatów wydanych lub wygasłych przed 29 lipca 2015 r. Jedynym warunkiem jest powiązanie certyfikatu z obsługiwanym potwierdzeniem certyfikacji z podpisem krzyżowym. Jeśli sterownik zostanie pomyślnie podpisany w ten sposób, nie będzie można zapobiec jego instalacji i uruchomieniu jako usługi. Technika ta stanowi poważne zagrożenie dla systemów Windows i jest stosunkowo łatwa do wykonania, częściowo ze względu na publicznie dostępne narzędzia.
Cyberprzestępcy wykorzystują narzędzia open-source do instalowania tysięcy złośliwych sterowników
Cisco Talos zaobserwował wiele grup wykorzystujących wspomnianą lukę do instalowania tysięcy złośliwych, fałszywie podpisanych sterowników bez przesyłania ich do Microsoftu w celu weryfikacji. Podczas badań zespół Talos zidentyfikował podmioty wykorzystujące narzędzia takie jak HookSignTool, służące do fałszowania znaczników czasowych, w celu wdrożenia złośliwych sterowników. Chociaż zyskały one pewną popularność w społeczności twórców cheatów w grach, Talos wykrył również użycie tego typu narzędzi w innych przypadkach.
Narzędzia cyberprzestępców i skutki fałszywych certyfikatów
Narzędzia takie jak HookSignTool stanowią poważne zagrożenie, ponieważ instalacja złośliwych sterowników może zapewnić atakującemu dostęp do jądra systemu operacyjnego. Narzędzia te mogą być również wykorzystane do ponownego podpisania scrackowanego sterownika w celu ominięcia DRM, co może prowadzić do strat finansowych związanych z piractwem oprogramowania. Oprócz tych zagrożeń, uruchamianie niezweryfikowanych sterowników może uszkodzić system, jeśli sterownik nie jest prawidłowo napisany.
Eksperci z Cisco Talos zalecają blokowanie wymienionych certyfikatów, ponieważ złośliwe sterowniki są trudne do wykrycia i są najskuteczniej blokowane na podstawie skrótów plików lub certyfikatów użytych do ich podpisania. Porównanie znacznika czasu podpisu z datą kompilacji sterownika może czasami być skutecznym sposobem wykrywania przypadków fałszowania. Należy jednak pamiętać, że daty kompilacji mogą zostać zmienione, aby dopasować znaczniki czasu podpisu.
Zespół Talos monitoruje problematyczne podpisy sterowników i będzie nadal przyglądać się aktywności cyberprzestępców, aby informować o przyszłych zagrożeniach. Ponadto Cisco na bieżąco zgłasza Microsoft wszelkie ustalenia dotyczące nowych form ataków.
Jak Cisco zabezpiecza swoich użytkowników przed niebezpieczeństwami wynikającymi z fałszywych certyfikatów:
- Cisco Secure Endpoint (wcześniej AMP for Endpoints) zapobiega instalowaniu złośliwego oprogramowania.
- Urządzenia Cisco Secure Firewall (dawniej Next-Generation Firewall i Firepower NGFW), posiadają m.in. funkcje Threat Defense Virtual, Adaptive Security Appliance i Meraki MX, które mogą wykrywać złośliwą aktywność związaną z zagrożeniem.
- Cisco Secure Malware Analytics (Threat Grid) identyfikuje złośliwe pliki i wzmacnia ochronę we wszystkich produktach z rodziny Cisco Secure.
Dodatkowe informacje:
Wpis na blogu Cisco Talos: Start certyfikat, nowa sygnatura.