Вредоносные драйверы, использующие подписи с поддельными временными метками, могут обходить защиту Windows.

На прошлой неделе компания Microsoft заблокировала более 100 вредоносных драйверов Windows с цифровой подписью после того, как стало известно, что киберпреступники используют Windows Hardware Developer Program для создания подписанных драйверов с вредоносной нагрузкой.

Теперь исследователи из Cisco Talos Intelligence обращают внимание еще на одну угрозу, связанную с драйверами Windows.

Microsoft интегрировала дополнительные меры безопасности в некоторые версии Windows, чтобы предотвратить загрузку вредоносных или проблемных драйверов на устройства. Например, в Windows Vista для драйверов уровня ядра требовалась цифровая подпись с сертификатом от проверенного центра сертификации.

Драйверы уровня ядра загружаются на ранней стадии, что дает им значительный контроль над системой. Обязательное требование подписи стало существенным изменением в области безопасности Windows.

В Windows 10, версия 1607 политика подписывания драйверов была изменена: разработчики должны были предоставлять драйверы уровня ядра для получения цифровой подписи через портал разработчиков Microsoft Developer Portal. Это изменение должно было дополнительно ограничить действия злоумышленников и гарантировать, что драйверы соответствуют требованиям и стандартам безопасности.

В новой политике было создано три исключения. Например, новая политика не применяется к компьютеру, который был обновлен с более ранней версии Windows до Windows 10, версия 1607, а также к компьютерам с отключенным режимом «Безопасная загрузка» (Secure Boot).

Третье исключение позволяет подписывать драйверы с помощью «сертификата конечного субъекта, выданного до 29 июля 2015 года, который связан с поддерживаемым Центром сертификации, выдающим перекрестные сертификаты». Согласно Cisco, это третье исключение создает лазейку, которой пользуются злоумышленники.

В результате киберпреступники получили возможность развертывать вредоносные драйверы без представления их в Microsoft. Talos Intelligence утверждает, что лазейка использовалась для создания  «тысяч вредоносных подписанных драйверов» с использованием инструментов, которые подделывают временные метки подписи.

Cisco рекомендует блокировать следующие сертификаты:

• ???????????? (Beijing Shihai Trading Co Ltd)
• Beijing JoinHope Image Technology Ltd.
• Shenzhen Luyoudashi Technology Co., Ltd.
• Jiangsu innovation safety assessment Co., Ltd.
• Baoji zhihengtaiye co.,ltd
• Zhuhai liancheng Technology Co., Ltd.
• Fuqing Yuntan Network Tech Co.,Ltd.
• Beijing Chunbai Technology Development Co., Ltd
• ????????????
• ?? ?
• NHN USA Inc.
• Open Source Developer, William Zoltan
• Luca Marcone
• HT Srl

Исследователи проанализировали 300 вредоносных образцов и обнаружили, что половина из них использовали языковой код. В большинстве случаев использовался китайский (упрощённый) язык

Cisco сообщает, что Microsoft заблокировала потенциально опасные сертификаты в качестве ответной меры.