Η Microsoft αναγνωρίζει ότι πολλά προγράμματα οδήγησης των Windows 11, Windows 10 WHQL ήταν στην πραγματικότητα κακόβουλο λογισμικό

Νωρίτερα σήμερα, η

Microsoft

κυκλοφόρησε τις ενημερώσεις της

Patch

Tuesday για

Windows

10 (KB5028166) και

Windows 11

(KB5028185). Η εταιρεία ανακοίνωσε ξεχωριστά για τις νέες ενημερώσεις Dynamic SafeOS που προορίζονται για την ενίσχυση των μέτρων μετριασμού ασφαλείας που έχουν τεθεί σε ισχύ έναντι των ευπαθειών της Secure Boot.

Παράλληλα με τις αλλαγές που έγιναν στο Secure Boot DBX, η Microsoft πρόσθεσε επίσης πολλά κακόβουλα προγράμματα οδήγησης στη λίστα ανάκλησης Windows Driver.STL. Η Microsoft ενημερώθηκε για αυτά τα ευάλωτα προγράμματα οδήγησης από τις εταιρείες έρευνας ασφαλείας Cisco Talos, Sophos και Trend Micro.

Σε ειδική συμβουλή ασφαλείας

ADV230001

η Microsoft εξηγεί το ζήτημα (CVE-2023-32046) το οποίο ήταν αποτέλεσμα κακόβουλα υπογεγραμμένων προγραμμάτων οδήγησης WHQL:

Η Microsoft ενημερώθηκε πρόσφατα ότι τα προγράμματα οδήγησης που πιστοποιήθηκαν από το πρόγραμμα προγραμματιστών υλικού των Windows (MWHDP) της Microsoft χρησιμοποιούνται κακόβουλα σε δραστηριότητα μετά την εκμετάλλευση. Σε αυτές τις επιθέσεις, ο εισβολέας απέκτησε δικαιώματα διαχείρισης σε παραβιασμένα συστήματα πριν χρησιμοποιήσει τα προγράμματα οδήγησης.

Η Microsoft ολοκλήρωσε την έρευνά της και διαπίστωσε ότι η δραστηριότητα περιοριζόταν στην κατάχρηση πολλών λογαριασμών προγραμμάτων προγραμματιστών και ότι δεν εντοπίστηκε κανένας παραβιασμός λογαριασμού Microsoft. Έχουμε αναστείλει τους λογαριασμούς πωλητών των συνεργατών και εφαρμόσαμε ανιχνεύσεις αποκλεισμού για όλα τα αναφερόμενα κακόβουλα προγράμματα οδήγησης για να βοηθήσουμε στην προστασία των πελατών από αυτήν την απειλή.

Η Microsoft απαιτεί από τα Vista τα προγράμματα οδήγησης λειτουργίας πυρήνα να υπογράφονται χρησιμοποιώντας το πρόγραμμα WHDP της. Ωστόσο, όπως έχει συμβεί στο παρελθόν, η πιστοποίηση δεν είναι αλάνθαστη μέθοδος. Η Cisco Talos επικοινώνησε με τη Neowin εξηγώντας ότι οι φορείς απειλών χρησιμοποιούν διάφορα βοηθητικά προγράμματα πλαστογράφησης υπογραφών προγραμμάτων οδήγησης, όπως το HookSignTool για να παρακάμψουν τα μέτρα WHCP. Εκτός από πλαστές πινακίδες, τέτοια βοηθητικά προγράμματα έχουν επίσης χρησιμοποιηθεί για την εκ νέου υπογραφή ενημερωμένου λογισμικού όπως αυτό του PrimoCache.

Η Cisco δήλωσε:

Κατά τη διάρκεια της έρευνάς μας, εντοπίσαμε παράγοντες απειλών που αξιοποιούν τα HookSignTool και FuckCertVerifyTimeValidity, εργαλεία σφυρηλάτησης χρονικής σφραγίδας υπογραφών που είναι δημόσια διαθέσιμα από το 2019 και το 2018 αντίστοιχα, για την ανάπτυξη αυτών των κακόβουλων προγραμμάτων οδήγησης.

HookSignTool

είναι ένα εργαλείο σφυρηλάτησης υπογραφής προγράμματος οδήγησης που αλλάζει την ημερομηνία υπογραφής ενός προγράμματος οδήγησης κατά τη διαδικασία υπογραφής μέσω ενός συνδυασμού σύνδεσης στο API των Windows και μη αυτόματης τροποποίησης του πίνακα εισαγωγής ενός νόμιμου εργαλείου υπογραφής κώδικα.

Η υπογραφή κακόβουλων προγραμμάτων οδήγησης δεν είναι το μόνο ζήτημα που προκύπτει από την ύπαρξη αυτών των εργαλείων. Κατά τη διάρκεια της έρευνάς μας, συναντήσαμε το HookSignTool που χρησιμοποιείται για την εκ νέου υπογραφή προγραμμάτων οδήγησης μετά την επιδιόρθωση για την παράκαμψη της διαχείρισης ψηφιακών δικαιωμάτων.

Η Microsoft έχει προσθέσει όλα αυτά τα προγράμματα οδήγησης στη λίστα αποκλεισμού ευάλωτων προγραμμάτων οδήγησης με ενημερώσεις ασφαλείας των Windows (Microsoft Defender 1.391.3822.0 και νεότερη έκδοση).

Πηγή:

Cisco Talos

μέσω

Σοφός

,

Trend Micro