Atakujący wchodzą na nowy poziom. Malware podpisany prawidłowymi certyfikatami Microsoft’s Windows Hardware Developer Program.

Sophos donosi że wykrył w działaniach grupy ransomware Cuba, złośliwy sterownik jądra Windows, który był prawidłowo podpisany. Warto wspomnieć, że Windows wymaga podpisu takich sterowników aby zapobiec nadużyciom.

Z kolei tego typu „lewy” sterownik może być użyty do omijania / wyłączania zaawansowanych mechanizmów chroniących przed malware (np. EDR), jednak wcześniej wymaga to zdobycia uprawnień administratora.

Sam Microsoft wydał oświadczenie:

drivers certified by Microsoft’s Windows Hardware Developer Program were being used maliciously in post-exploitation activity. In these attacks, the attacker had already gained administrative privileges on compromised systems prior to use of the drivers. We were notified of this activity by SentinelOne, Mandiant, and Sophos on October 19, 2022, and subsequently performed an investigation into this activity. This investigation revealed that several developer accounts for the Microsoft Partner Center were engaged in submitting malicious drivers to obtain a Microsoft signature.

Została wydana również poprawka bezpieczeństwa Windows, unieważniająca wspomniane wyżej (nielegalnie użyte) certyfikaty. Wykrywa je również Windows Defender.

~Michał Sajdak