Τα ψηφιακά πιστοποιητικά της Microsoft χρησιμοποιήθηκαν και πάλι για την υπογραφή κακόβουλου λογισμικού

[nnn]

Η Microsoft συνελήφθη για άλλη μια φορά να επιτρέπει στα νόμιμα ψηφιακά πιστοποιητικά της να υπογράφουν κακόβουλο λογισμικό, ένα σφάλμα που επιτρέπει στα κακόβουλα αρχεία να περνούν τους αυστηρούς ελέγχους ασφαλείας που έχουν σχεδιαστεί για να τα εμποδίζουν να εκτελούνται στο λειτουργικό σύστημα Windows.

Πολλοί φορείς απειλών συμμετείχαν στην κατάχρηση της ψηφιακής σφραγίδας της Microsoft, την οποία χρησιμοποίησαν για να δώσουν στα Windows και στις εφαρμογές ασφαλείας τελικών σημείων την εντύπωση ότι οι κακόβουλοι οδηγοί συστήματος είχαν πιστοποιηθεί ως ασφαλείς από τη Microsoft. Αυτό οδήγησε σε εικασίες ότι μπορεί να υπάρχει ένας ή περισσότεροι κακόβουλοι οργανισμοί που πωλούν κακόβουλη υπογραφή οδηγών ως υπηρεσία. Συνολικά, οι ερευνητές έχουν εντοπίσει τουλάχιστον εννέα ξεχωριστές οντότητες προγραμματιστών που έκαναν κατάχρηση των πιστοποιητικών τους τελευταίους μήνες.

Η κατάχρηση ανακαλύφθηκε ανεξάρτητα από τέσσερις εταιρείες ασφαλείας τρίτων, οι οποίες στη συνέχεια την ανέφεραν ιδιωτικά στη Microsoft. Την Τρίτη, κατά τη διάρκεια της μηνιαίας Patch Tuesday της Microsoft, η εταιρεία επιβεβαίωσε τα ευρήματα και δήλωσε ότι διαπίστωσε ότι η κατάχρηση προερχόταν από διάφορους λογαριασμούς προγραμματιστών και ότι δεν έχει εντοπιστεί παραβίαση δικτύου.

Η κατασκευάστρια εταιρεία λογισμικού έχει πλέον αναστείλει τους λογαριασμούς προγραμματιστών και έχει εφαρμόσει ανιχνεύσεις αποκλεισμού για να εμποδίσει τα Windows να εμπιστεύονται τα πιστοποιητικά που χρησιμοποιήθηκαν για την υπογραφή των παραβιασμένων πιστοποιητικών. "Η Microsoft συνιστά σε όλους τους πελάτες να εγκαταστήσουν τις τελευταίες ενημερώσεις των Windows και να διασφαλίσουν ότι τα προϊόντα ανίχνευσης ιών και τελικών σημείων είναι ενημερωμένα με τις τελευταίες υπογραφές και ενεργοποιημένα για να αποτρέψουν αυτές τις επιθέσεις", έγραψαν αξιωματούχοι της εταιρείας.

Επειδή τα περισσότερα προγράμματα οδήγησης έχουν άμεση πρόσβαση στον πυρήνα -τον πυρήνα των Windows όπου βρίσκονται τα πιο ευαίσθητα μέρη του λειτουργικού συστήματος- η Microsoft απαιτεί να υπογράφονται ψηφιακά χρησιμοποιώντας μια εσωτερική διαδικασία της εταιρείας γνωστή ως πιστοποίηση. Χωρίς αυτή την ψηφιακή υπογραφή, τα Windows δεν θα φορτώσουν το πρόγραμμα οδήγησης. Η πιστοποίηση έχει επίσης γίνει ένα de facto μέσο για τα προϊόντα ασφαλείας τρίτων κατασκευαστών που αποφασίζουν αν ένα πρόγραμμα οδήγησης είναι αξιόπιστο. Η Microsoft διαθέτει μια ξεχωριστή διαδικασία επικύρωσης προγραμμάτων οδήγησης, γνωστή ως Microsoft Windows Hardware Compatibility Program, στο πλαίσιο της οποίας τα προγράμματα οδήγησης εκτελούν διάφορες πρόσθετες δοκιμές για να διασφαλίσουν τη συμβατότητα.

Για να υπογραφούν τα προγράμματα οδήγησης από τη Microsoft, ένας κατασκευαστής υλικού πρέπει πρώτα να αποκτήσει ένα εκτεταμένο πιστοποιητικό επικύρωσης, το οποίο απαιτεί από τον κατασκευαστή να αποδείξει την ταυτότητά του σε μια αξιόπιστη αρχή πιστοποιητικών των Windows και να παράσχει πρόσθετες εγγυήσεις ασφαλείας. Στη συνέχεια, ο προγραμματιστής επισυνάπτει το πιστοποιητικό EV στο λογαριασμό του στο Windows Hardware Developer Program. Στη συνέχεια, οι προγραμματιστές υποβάλλουν το πακέτο του οδηγού τους στη Microsoft για δοκιμή.

Τα πιστοποιητικά EV προήλθαν κυρίως από τις CAs Digicert και Globalsign και εκδόθηκαν σε κινέζους πελάτες. Όλα τα πιστοποιητικά EV που εκδόθηκαν από την Digicert, εκτός από ένα, παρέμεναν έγκυρα μέχρι την Τρίτη, δήλωσε η Mandiant.

Οι οδηγοί που υπογράφηκαν με τα νόμιμα πιστοποιητικά της Microsoft χρησιμοποιήθηκαν σε δραστηριότητα μετά την εκμετάλλευση, δηλαδή αφού οι φορείς απειλών είχαν ήδη αποκτήσει δικαιώματα διαχείρισης στα μηχανήματα-στόχους. Οι φορείς απειλών χρησιμοποίησαν αυτά τα προγράμματα οδήγησης για να τερματίσουν διεργασίες ή υπηρεσίες που χρησιμοποιούνται από διάφορους προμηθευτές προϊόντων ασφάλειας.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Arstechnica

[Parrot]

Τεράστια συγκίνηση πραγματικά