Cisco: Тысячи вредоносных драйверов могут обходить защиту Windows

Безопасность

Cisco: Тысячи вредоносных драйверов могут обходить защиту Windows

Вредоносные драйверы, использующие подписи с поддельными временными метками, могут обходить защиту Windows.

На прошлой неделе компания Microsoft заблокировала более 100 вредоносных драйверов Windows с цифровой подписью после того, как стало известно, что киберпреступники используют Windows Hardware Developer Program для создания подписанных драйверов с вредоносной нагрузкой.

Теперь исследователи из Cisco Talos Intelligence обращают внимание еще на одну угрозу, связанную с драйверами Windows.

Microsoft интегрировала дополнительные меры безопасности в некоторые версии Windows, чтобы предотвратить загрузку вредоносных или проблемных драйверов на устройства. Например, в Windows Vista для драйверов уровня ядра требовалась цифровая подпись с сертификатом от проверенного центра сертификации.

Драйверы уровня ядра загружаются на ранней стадии, что дает им значительный контроль над системой. Обязательное требование подписи стало существенным изменением в области безопасности Windows.

В Windows 10, версия 1607 политика подписывания драйверов была изменена: разработчики должны были предоставлять драйверы уровня ядра для получения цифровой подписи через портал разработчиков Microsoft Developer Portal. Это изменение должно было дополнительно ограничить действия злоумышленников и гарантировать, что драйверы соответствуют требованиям и стандартам безопасности.

В новой политике было создано три исключения. Например, новая политика не применяется к компьютеру, который был обновлен с более ранней версии Windows до Windows 10, версия 1607, а также к компьютерам с отключенным режимом «Безопасная загрузка» (Secure Boot).

Третье исключение позволяет подписывать драйверы с помощью «сертификата конечного субъекта, выданного до 29 июля 2015 года, который связан с поддерживаемым Центром сертификации, выдающим перекрестные сертификаты». Согласно Cisco, это третье исключение создает лазейку, которой пользуются злоумышленники.

В результате киберпреступники получили возможность развертывать вредоносные драйверы без представления их в Microsoft. Talos Intelligence утверждает, что лазейка использовалась для создания  «тысяч вредоносных подписанных драйверов» с использованием инструментов, которые подделывают временные метки подписи.

Cisco рекомендует блокировать следующие сертификаты:

  • ???????????? (Beijing Shihai Trading Co Ltd)
  • Beijing JoinHope Image Technology Ltd.
  • Shenzhen Luyoudashi Technology Co., Ltd.
  • Jiangsu innovation safety assessment Co., Ltd.
  • Baoji zhihengtaiye co.,ltd
  • Zhuhai liancheng Technology Co., Ltd.
  • Fuqing Yuntan Network Tech Co.,Ltd.
  • Beijing Chunbai Technology Development Co., Ltd
  • ????????????
  • ?? ?
  • NHN USA Inc.
  • Open Source Developer, William Zoltan
  • Luca Marcone
  • HT Srl

Исследователи проанализировали 300 вредоносных образцов и обнаружили, что половина из них использовали языковой код. В большинстве случаев использовался китайский (упрощённый) язык

Cisco сообщает, что Microsoft заблокировала потенциально опасные сертификаты в качестве ответной меры.

По материалам:
Более 100 подписанных драйверов
Исследователи обнаружили 133 подписанных драйверов Windows, содержащих вредоносное ПО. Microsoft заблокировала эти

Нет комментариев.

Добавить комментарий
или
регистрация Я забыл свой пароль
ru en de fr pt es it zh
У вас лицензионная Windows?
Мы в соцсетях
Реклама
1 Посетител на сайте. Из них:
Гости1
Loading...

Нашли ошибку?
Вы можете сообщить об этом администрации.
Выделив текст нажмите CTRL+Enter