.
As empresas de segurança relataram que vários grupos de hackers têm usado drivers assinados pela Microsoft em uma série de ataques, incluindo a implantação do ransomware Cuba.
Esse desenvolvimento é importante porque muitos serviços de segurança confiarão implicitamente em qualquer coisa assinada pela Microsoft,
Durante o Patch Tuesday deste mês, a Microsoft reconheceu os relatórios da SentinelOne, da Mandiant, de propriedade do Google, e da Sophos sobre agentes de ameaças usando um driver certificado pelo Windows Hardware Developer Program da Microsoft para implantar vários malwares.
O driver malicioso, mas devidamente assinado pela Microsoft, foi usado em uma tentativa de encerrar agentes de detecção de endpoint e antivírus em sistemas afetados de vários fornecedores. Os fornecedores relataram o driver malicioso à Microsoft em 19 de outubro, de acordo com a gigante da tecnologia.
Além disso: Segurança cibernética: essas são as novidades com as quais se preocupar em 2023
A Mandiant rastreia o driver malicioso como Poortry e seu carregador como Stonestop. A Mandiant descobriu que várias famílias de malware foram assinadas com esse processo e nove nomes de organizações exclusivos associados ao malware assinado.
SentinelOne relata que os drivers foram usados em invasões em telecomunicações, terceirização de processos de negócios, entretenimento, transporte, provedores de serviços de segurança gerenciados, empresas financeiras e setores de criptomoeda. Em alguns casos, foi usado para fornecer serviços de troca de SIM.
“Notavelmente, o SentinelLabs observou um ator de ameaça separado também utilizando um driver assinado pela Microsoft semelhante, o que resultou na implantação do ransomware Hive contra um alvo na indústria médica, indicando um uso mais amplo dessa técnica por vários atores com acesso a ferramentas semelhantes”. disse.
O invasor teria passado por um conjunto elaborado de processos com a Microsoft e as autoridades de certificação (CAs) para obter um driver assinado pela Microsoft.
“O principal problema com esse processo é que a maioria das soluções de segurança confia implicitamente em qualquer coisa assinada apenas pela Microsoft, especialmente drivers de modo kernel”, observa SentinelOne.
“A partir do Windows 10, a Microsoft começou a exigir que todos os drivers do modo kernel fossem assinados usando o portal do painel do Windows Hardware Developer Center”. A Microsoft fez isso para combater rootkits de driver de modo kernel, por exemplo, explorando vulnerabilidades em drivers legítimos de modo kernel.
Os pesquisadores da Mandiant estão altamente confiantes de que, para obter o driver assinado pela Microsoft, os invasores adquiriram ilicitamente certificados de assinatura de código Extended Validation (EV) de uma CA e, em seguida, passaram pelo processo da Microsoft de ter seu malware assinado pela Microsoft por meio de seu processo de assinatura de atestado. O SentinelOne observa que existem várias teorias sobre quem está fazendo isso. Uma delas é que um ou mais fornecedores ruins estão oferecendo o processo de assinatura de motorista como um serviço; A Mandiant apóia a teoria do fornecedor.
A Microsoft disse que conduziu uma investigação e afirma que descobriu que a atividade foi “limitada ao abuso de várias contas de programas de desenvolvedores” e que seus serviços não foram comprometidos.
Ele também suspendeu as contas de vendedor dos parceiros, implementou detecções de bloqueio e revogou o certificado para arquivos afetados.
Como explica a Mandiant, para Windows 10 e 11 e Windows Server 2022, os fornecedores de hardware podem enviar drivers à Microsoft para assinatura de atestado, que verifica a integridade dos pacotes de driver enviados e a identidade do editor do software. O editor verifica sua identidade assinando seu pacote de driver com um certificado EV fornecido por um pequeno grupo de CAs.
“Os drivers assinados por atestado pegam a confiança concedida a eles pela CA e a transferem para um arquivo cuja assinatura Authenticode se origina da própria Microsoft. Avaliamos com alta confiança que os agentes de ameaças subverteram esse processo usando certificados de assinatura de código EV obtidos ilicitamente para enviar pacotes de driver por meio do processo de assinatura de atestado e, de fato, têm seu malware assinado diretamente pela Microsoft”, diz Mandiant.
Também: Trabalhos de segurança cibernética: cinco maneiras de ajudá-lo a construir sua carreira
Authenticode é a implementação de assinatura de código da Microsoft para binários do Windows. O Authenticode ajuda os fornecedores de hardware a obter seus drivers assinados por meio do Programa de compatibilidade de hardware do Windows.
Mandiant rastreia o grupo usando malware assinado por assinatura de atestado como UNC3944.
“UNC3944 é um grupo de ameaças com motivação financeira que está ativo desde pelo menos maio de 2022 e geralmente obtém acesso inicial à rede usando credenciais roubadas obtidas de operações de phishing por SMS. Em alguns casos, os objetivos pós-compromisso do grupo se concentraram em acessar credenciais ou sistemas usados para permitir ataques de troca de SIM, provavelmente em apoio a operações criminosas secundárias que ocorrem fora dos ambientes das vítimas”, diz Mandiant.
O que está sob ataque neste caso é o sistema de confiança entre os fornecedores de software.
“Porque [endpoint detection] fornecedores são forçados a confiar em drivers assinados pela Microsoft, pode ser difícil distinguir entre exemplos legítimos benignos e maliciosos que escapam das verificações de segurança”, observa SentinelOne.
“Atores de ameaças estão subindo na pirâmide de confiança, tentando usar chaves criptográficas cada vez mais confiáveis para assinar digitalmente seus drivers”, diz Sophos. As assinaturas de um grande e confiável editor de software tornam mais provável que o driver seja carregado no Windows sem impedimentos, aumentando as chances de que os invasores do ransomware Cuba possam encerrar os processos de segurança que protegem os computadores de seus alvos.
.
