.
A Microsoft diz que suspendeu várias contas de desenvolvedores de terceiros que enviaram drivers maliciosos do Windows para a gigante de TI assinar digitalmente para que o código pudesse ser usado em ataques cibernéticos.
Em conjunto com o seu Atualização de terça-feira lançamento esta semana, o golias da tecnologia também revogou os certificados usados para assinar os drivers ruins e prometeu implementar medidas para impedir que as organizações carreguem o código malicioso.
Esses movimentos vêm depois que os headheads da Mandiant, SentinelOne e Sophos, de propriedade do Google, disseram à Microsoft em outubro que várias gangues de cibercrimes estavam usando drivers de hardware de modo kernel assinados pela Microsoft desenvolvidos por terceiros maliciosos para ajudar a espalhar o ransomware.
Essencialmente, essas equipes criaram contas de desenvolvedor com a Microsoft para enviar drivers maliciosos ao Windows Hardware Developer Program do software goliath. Uma vez que a Microsoft foi enganada para assinar digitalmente os drivers, sinalizando que o código era legítimo, o software seria confiável para o sistema operacional.
Nesse ponto, uma vez que os criminosos tenham comprometido o PC com Windows da vítima e obtido acesso de administrador, eles poderiam carregar os drivers e usá-los para fazer coisas privilegiadas, como desabilitar antivírus e ferramentas de segurança e comprometer totalmente o dispositivo e possivelmente toda a rede.
De acordo com a Microsoft consultivo esta semana sobre toda a bagunça, o mega-biz foi informado pelas empresas de segurança cibernética que os drivers aprovados por Redmond estavam sendo usados por vários criminosos para atingir organizações com ransomware.
“Nesses ataques, o invasor já havia obtido privilégios administrativos em sistemas comprometidos antes do uso dos drivers”, escreveu a Microsoft, acrescentando que sua “investigação revelou que várias contas de desenvolvedores do Microsoft Partner Center estavam envolvidas no envio de drivers maliciosos para obter um Assinatura da Microsoft.”
A gigante de TI enfatizou que não houve comprometimento de sua própria rede e sistemas; este foi um caso de desenvolvedores desonestos enviando drivers ruins e esperando que a Microsoft os aprovasse erroneamente e, em seguida, use o código em estado selvagem contra as vítimas, nos disseram.
Agora, essas contas de desenvolvedor foram congeladas e foram tomadas medidas para impedir que os drivers sejam implantados em outros alvos, de acordo com a Microsoft.
Um driver de hardware malicioso do modo kernel do Windows com o selo de aprovação da Microsoft não é impedido de fazer todos os tipos de coisas uma vez em execução em um sistema, como produtos de proteção de endpoint e impedir a detecção de intrusão. A Microsoft exige que os drivers de modo kernel sejam assinados por meio do Windows Hardware Developer Program desde o Windows 10.
A assinatura indica confiança, de acordo com os pesquisadores da Sophos, Andreas Klopsch e Andrew Brandt. Houve um aumento no uso de drivers de dispositivos confiáveis de terceiros para encerrar as ferramentas de segurança em 2022.
Apelidado de abordagem Bring Your Own Vulnerable Driver (BYOVD), um malfeitor com privilégios suficientes em um sistema carrega um driver do Windows legítimo e não malicioso, conhecido por conter vulnerabilidades que podem ser exploradas para desativar recursos e comprometer totalmente o PC.
Alternativamente, o malfeitor pode carregar um driver assinado projetado especificamente para o mal. Os resultados finais são basicamente os mesmos.
O ransomware BlackByte adotou a primeira abordagem, usando um driver de um editor legítimo, escreveu a equipe da Sophos em um relatório.
“Atores de ameaças estão subindo na pirâmide de confiança, tentando usar chaves criptográficas cada vez mais confiáveis para assinar digitalmente seus drivers”, escreveram Klopsch e Brandt.
Eles disseram que os criminosos provavelmente associados com o Cuba ransomware usou uma ferramenta de carregamento chamada BURNTCIGAR – detectada pela primeira vez pela Mandiant em fevereiro – para tentar executar um driver malicioso de terceiros chamado POORTRY, que mata silenciosamente as proteções de endpoint em sistemas de destino antes que o ransomware seja implantado. Diz-se que o POORTRY foi projetado especificamente para este caso de uso e foi assinado pela Microsoft por meio de seu programa de desenvolvimento de hardware.
As tentativas de carregar o driver falharam, disseram-nos, e deixaram para trás arquivos que os pesquisadores puderam analisar.
A Sophos disse ter encontrado duas amostras de drivers maliciosos do Windows que foram assinadas em nome da Zhuhai Liancheng Technology e outra da Beijing JoinHope Image Technology, ambas empresas chinesas.
Enquanto isso, os pesquisadores da Mandiant esta semana escreveu sobre o UNC3944, uma equipe motivada financeiramente ativa desde pelo menos maio, que está usando malware assinado pela Microsoft e seu programa de driver de hardware.
Os pesquisadores disseram que o UNC3944 usou um carregador de malware chamado STONESTOP para executar o POORTRY para eliminar qualquer processo de segurança indesejado. POORTRY remonta a junho e apareceu com vários certificados de código. A gangue UNC3944 geralmente obtém acesso inicial a uma rede usando credenciais roubadas e phishing por SMS.
A unidade SentinelLabs da SentinelOne disse ter encontrado malware que inclui o STONESTOP, que é usado para carregar e instalar o POORTRY. Os analistas detectaram três versões dessa pilha de código malicioso, com duas versões do POORTRY assinadas pela Microsoft.
Os analistas disseram que o kit de ferramentas foi usado contra uma série de alvos em áreas como telecomunicações, terceirização de processos de negócios (BPO), provedores de serviços gerenciados de segurança (MSSPs) e serviços financeiros. Também tem sido usado pelo Hive ransomware grupo contra uma empresa de saúde.
Pesquisadores da Mandiant e da SentinelLabs disseram que várias equipes usaram o POORTRY, indicando que o malware pode estar disponível para os criminosos comprarem e que o processo de assinatura dos drivers pode ser oferecido como um serviço.
“Outras evidências que apóiam a teoria do ‘fornecedor’ decorrem da funcionalidade e design semelhantes dos drivers”, escreveu a equipe do SentinelLabs. “Embora tenham sido usados por dois agentes de ameaças diferentes, eles funcionaram da mesma maneira. Isso indica que possivelmente foram desenvolvidos pela mesma pessoa e posteriormente vendidos para uso por outra pessoa.”
Além disso, os analistas da Mandiant viram cibercriminosos e serviços alegando – em idiomas como inglês, russo e chinês – oferecer certificados de assinatura de código ou assinar malware para os compradores.
A Microsoft disse em outubro que está contrariando essa tendência de usar drivers vulneráveis em ataques, tornando a lista de bloqueio de drivers vulneráveis um recurso padrão em vez de uma opção para dispositivos que executam a atualização do Windows 11 2022. Além disso, a lista de bloqueio será atualizada regularmente e consistente no Windows 10 e em outras versões do sistema operacional.
Não aceitar drivers maliciosos em primeiro lugar também seria legal. ®
.
