Microsoft förbjöd mer än 100 signerade skadliga Windows-drivrutiner förra veckan efter att det rapporterades att skadliga aktörer hade gått med i företagets Windows Hardware Development Program för att skapa drivrutiner signerade med skadlig programvara.
Säkerhetsforskare på Cisco Talos Intelligence har nu pekat ut ett annat förarrelaterat hot på Windows.
Microsoft har implementerat ytterligare säkerhet i flera versioner av sitt Windows-operativsystem för att förhindra att skadliga eller problematiska drivrutiner laddas på Windows-enheter. Windows Vista krävde att drivrutiner i kärnläge var digitalt signerade med ett certifikat från en verifierad certifikatutfärdare.
Kernel-mode-drivrutiner laddas i ett tidigt skede, vilket ger dem mycket kontroll över systemet i fråga. Signaturapplikationen var en stor spelförändring för Windows-säkerhet.
Windows 10 version 1607 introducerade en uppdaterad drivrutinssigneringspolicy. Den stora förändringen krävde att utvecklare måste skicka in drivrutiner i kärnläge för att signeras av Microsoft Developer Portal. Denna förändring var utformad för att ytterligare begränsa skadliga aktörer och för att säkerställa att förarna uppfyller säkerhetskrav och standarder.
Microsoft skapade tre undantag från den nya policyn, inklusive att den nya policyn inte gäller för en dator som har uppgraderats från en tidigare version av Windows till Windows 10 version 1607, och att den inte gäller för datorer med Secure Boot inaktiverad.
Det tredje undantaget tillåter kontrollanter att signeras med ett “slutenhetscertifikat utfärdat före den 29 juli 2015 som är kopplat till en korssignerad CA”; Detta tredje undantag skapar ett kryphål, enligt Cisco.
Skadliga aktörer har börjat utnyttja detta kryphål för att distribuera skadliga drivrutiner utan att skicka in dem till Microsoft. Talos Intelligence hävdar att detta kryphål har använts för att skapa “tusentals illvilliga signerade förare” med hjälp av verktyg som förfalskar signaturens tidsstämpel.
Cisco rekommenderar att du blockerar certifikaten du nämnde i blogginlägget. Certifikaten som nämns i blogginlägget är följande:
???????????? (Beijing Shihai Trading Co Ltd)
- Beijing JoinHope Image Technology Ltd.
- Shenzhen Luyoudashi Technology Co., Ltd.
- Jiangsu Innovation Safety Assessment Co., Ltd.
- Baoji zhihengtaiye co., Ltd
- Zhuhai liancheng Technology Co., Ltd.
- Fuqing Yuntan Network Tech Co.,Ltd.
- Beijing Chunbai Technology Development Co., Ltd.
- ????????????
- ?? ?
- NHN USA Inc.
- Utvecklare av öppen källkod, William Zoltan
- luca marcone
- HT Srl
Säkerhetsforskare analyserade 300 skadliga prover och fann att ungefär hälften använde språkkod. De flesta av de språkkodade proven var inställda på kinesiska (förenklad).
Cisco noterar att Microsoft har blockerat de certifikat som nämns i blogginlägget som svar.
Annons
