Invasores usaram a vulnerabilidade para forjar assinaturas em drivers modificados maliciosamente, permitindo-lhes implantar malware persistente
Uma brecha em um mecanismo central de segurança do Windows que exige que todos os drivers do kernel sejam assinados digitalmente permite que invasores falsifiquem assinaturas em drivers modificados de forma maliciosa. Essa técnica foi automatizada e usada para derrotar os recursos antitrapaça e gerenciamento de direitos digitais (DRM) em games, mais recentemente, para implantar malware altamente persistente.
“Do ponto de vista de um invasor, as vantagens de aproveitar um driver malicioso incluem — mas não estão limitadas a — evasão da detecção de endpoint, capacidade de manipular processos do sistema e do modo de usuário e persistência mantida em um sistema infectado”, disseram pesquisadores da Cisco Talos em um relatório. “Essas vantagens fornecem um incentivo significativo para os invasores descobrirem maneiras de contornar as políticas de assinatura de driver do Windows.”
Drivers de kernel são códigos poderosos porque rodam na área mais privilegiada do sistema operacional, muitas vezes facilitando a comunicação entre o próprio sistema operacional e os componentes de hardware instalados no computador: placas de rede, placas gráficas, unidades de armazenamento, placas de som, dispositivos USB e assim por diante. Eles também podem ser usados para implementar recursos poderosos em programas de software, como virtualização, limpeza de arquivos ou criptografia de disco. O software de segurança geralmente depende de drivers também para implementar alguns de seus recursos.
Os invasores historicamente também aproveitaram o poder dos drivers, criando drivers maliciosos para implantar rootkits poderosos, mas a partir do Windows Vista, a Microsoft começou a reprimir esse abuso exigindo que todos os drivers do modo kernel fossem assinados digitalmente por uma autoridade de certificação (AC). Embora isso não tenha impedido totalmente os drivers mal-intencionados, elevou a barra, porque obter um certificado de assinatura de código de uma autoridade de certificação não é barato e envolve verificação de identidade.
Começando com o Windows 10 versão 1607, a Microsoft foi ainda mais longe e começou a exigir que todos os drivers do kernel fossem assinados não por uma AC de terceiros, mas por meio de seu próprio programa de desenvolvedor. No entanto, para acomodar os drivers existentes durante o período de transição, essa política veio com três exceções: para drivers implantados em uma versão mais antiga do Windows que foi atualizada para o Windows 10, para drivers implantados quando o Secure Boot está desativado no BIOS e para drivers que foram assinados com um certificado de usuário válido antes de 29 de julho de 2015, se o certificado tiver sido emitido por uma autoridade de certificação confiável no Windows.
Os hackers descobriram que essa última exceção poderia ser explorada se eles encontrassem uma maneira de assinar novos drivers e, em seguida, alterar o registro de data e hora da assinatura para que parecesse ao Windows que o certificado foi assinado no passado, antes de 29 de julho de 2015. Eles desenvolveram um método que agora está implementado e disponível em ferramentas de código aberto. O problema? requer certificados de assinatura de código existentes que expiraram antes ou foram emitidos antes dessa data e nunca foram revogados.
Ao contrário das conexões HTTPS em navegadores, o Windows aceitará a instalação de drivers assinados com um certificado de assinatura de código expirado. De fato, no ano passado, o grupo de hackers LAPSUS$ roubou e vazou dois certificados de assinatura de código da Nvidia que expiraram em 2014 e 2018 e ainda eram usados por invasores para assinar malware e ferramentas de hacking.
“A Talos observou vários agentes de ameaças aproveitando a brecha da política do Windows mencionada acima para implantar milhares de drivers assinados e maliciosos sem enviá-los à Microsoft para verificação”, disseram os pesquisadores da Talos. “Durante nossa pesquisa, identificamos operadores de ameaças que utilizam HookSignTool e FuckCertVerifyTimeValidity, ferramentas de forjamento de carimbo de data/hora de assinatura que estão disponíveis publicamente desde 2019 e 2018, respectivamente, para implantar esses drivers maliciosos.”
Os pesquisadores do Talos até encontraram uma coleção de certificados válidos de assinatura de código emitidos para diferentes entidades antes de 29 de julho de 2015, que foram distribuídos junto com uma das ferramentas em um repositório GitHub. Não está claro, porém, como esses certificados foram obtidos, mas eles vieram completos com sua chave privada e senhas. Muitos foram emitidos para entidades com nomes chineses, mas alguns vieram do vazamento de dados de 2015 do desenvolvedor de software de vigilância italiano HackingTeam.
A Microsoft publicou um comunicado na terça-feira, 11, em resposta às descobertas da Cisco Talos, bem como da Sophos e da Trend Micro, que entraram em contato com a empresa com vários drivers assinados mal utilizados desde fevereiro. A empresa também lançou atualizações que colocam na lista negra os drivers relatados, bem como os certificados de assinatura que foram usados para criá-los. As detecções também foram adicionadas ao Microsoft Defender e várias contas que estavam enviando drivers mal-intencionados ao Microsoft Partner Center (MPC) foram suspensas.
Fonte:
https://www.cisoadvisor.com.br/hackers-exploram-brecha-de-seguranca-no-windows/
