.
Getty Images
A Microsoft foi mais uma vez pega permitindo que seus certificados digitais legítimos assinem malware em estado selvagem, um lapso que permite que os arquivos maliciosos passem por verificações de segurança rígidas projetadas para impedir que sejam executados no sistema operacional Windows.
Vários atores de ameaças estiveram envolvidos no uso indevido do imprimatur digital da Microsoft, que eles usaram para dar ao Windows e aos aplicativos de segurança de endpoint a impressão de que os drivers de sistema maliciosos foram certificados como seguros pela Microsoft. Isso levou à especulação de que pode haver uma ou mais organizações maliciosas vendendo assinatura de driver maliciosa como um serviço. Ao todo, os pesquisadores identificaram pelo menos nove entidades desenvolvedoras separadas que abusaram dos certificados nos últimos meses.
O abuso foi descoberto de forma independente por quatro empresas de segurança terceirizadas, que o denunciaram em particular à Microsoft. Na terça-feira, durante o Patch Tuesday mensal da Microsoft, a empresa confirmou as descobertas e disse que determinou que o abuso veio de várias contas de desenvolvedores e que nenhuma violação de rede foi detectada.
O fabricante do software agora suspendeu as contas do desenvolvedor e implementou detecções de bloqueio para impedir que o Windows confie nos certificados usados para assinar os certificados comprometidos. “A Microsoft recomenda que todos os clientes instalem as atualizações mais recentes do Windows e garantam que seus produtos antivírus e de detecção de endpoints estejam atualizados com as assinaturas mais recentes e habilitados para evitar esses ataques”, escreveram os funcionários da empresa.
Cartilha de assinatura de código
Como a maioria dos drivers tem acesso direto ao kernel – o núcleo do Windows onde residem as partes mais confidenciais do sistema operacional – a Microsoft exige que eles sejam assinados digitalmente usando um processo interno da empresa conhecido como atestado. Sem essa assinatura digital, o Windows não carregará o driver. O atestado também se tornou um meio de fato para produtos de segurança de terceiros decidirem se um driver é confiável. A Microsoft tem um processo separado de validação de driver conhecido como Programa de Compatibilidade de Hardware do Microsoft Windows, no qual os drivers executam vários testes adicionais para garantir a compatibilidade.
Para obter drivers assinados pela Microsoft, um desenvolvedor de hardware primeiro deve obter um certificado de validação estendida, que exige que o desenvolvedor prove sua identidade a uma autoridade de certificação confiável do Windows e forneça garantias de segurança adicionais. O desenvolvedor então anexa o certificado EV à sua conta do Windows Hardware Developer Program. Os desenvolvedores então enviam seu pacote de driver para a Microsoft para teste.
Pesquisadores da SentinelOne, uma das três empresas de segurança que descobriram o uso indevido do certificado e o relataram em particular à Microsoft, explicaram:
O principal problema com esse processo é que a maioria das soluções de segurança confia implicitamente em qualquer coisa assinada apenas pela Microsoft, especialmente drivers de modo kernel. A partir do Windows 10, a Microsoft começou a exigir que todos os drivers do modo kernel fossem assinados usando o portal do painel do Windows Hardware Developer Center. Qualquer coisa não assinada por esse processo não pode ser carregada nas versões modernas do Windows. Embora a intenção desse novo requisito fosse ter controle e visibilidade mais rígidos sobre os drivers que operam no nível do kernel, os invasores perceberam que, se pudessem manipular o processo, teriam rédea solta para fazer o que quisessem. O truque, entretanto, é desenvolver um driver que não pareça ser malicioso para as verificações de segurança implementadas pela Microsoft durante o processo de revisão.
A Mandiant, outra empresa de segurança que descobriu o abuso, disse que “várias famílias de malware distintas, associadas a agentes de ameaças distintos, foram assinadas por meio do Programa de Compatibilidade de Hardware do Windows”. Pesquisadores da empresa identificaram pelo menos nove nomes de organizações que abusam do programa. Além de obter acesso aos certificados da Microsoft, os agentes de ameaças também conseguiram obter certificados EV de autoridades de certificação de terceiros.
.
