Microsoft признает, что многие WHQL-драйверы для Windows 11 и Windows 10 на самом деле были вредоносными программами

Ранее Microsoft выпустила обновления «Вторник Патчей» для Windows 10 (KB5028166) и Windows 11 (KB5028185). Компания отдельно объявила о новых обновлениях Dynamic SafeOS, предназначенных для усиления мер безопасности, направленных против уязвимостей Secure Boot.

Наряду с изменениями, внесенными в DBX Secure Boot, Microsoft добавила несколько вредоносных драйверов в свой список отзыва Windows Driver.STL. Исследовательские фирмы Cisco Talos, Sophos и Trend Micro проинформировали Microsoft об этих уязвимых драйверах.

В специальном совете по безопасности Microsoft объясняет проблему (CVE-2023-32046), которая возникла из-за злонамеренно подписанных драйверов WHQL:

Microsoft недавно была проинформирована о том, что драйверы, сертифицированные Microsoft Windows Hardware Developer Program (MWHDP), злонамеренно использовались в действиях после эксплуатации. В этих атаках злоумышленник получал административные привилегии на скомпрометированных системах, прежде чем использовать драйверы.

Корпорация Майкрософт завершила свое расследование и установила, что действия были ограничены злоупотреблением несколькими учетными записями программ разработчиков и что компрометации учетных записей Microsoft обнаружено не было. Мы приостановили действие учетных записей продавцов партнеров и внедрили средства обнаружения блокировки для всех обнаруженных вредоносных драйверов, чтобы помочь защитить клиентов от этой угрозы.

Microsoft требует, чтобы драйверы режима ядра были подписаны с помощью программы WHDP. Однако, как это случалось и раньше, сертификация не является надежным методом. В Cisco Talos объяснили, что злоумышленники использовали различные утилиты для подделки подписей драйверов, такие как HookSignTool, чтобы обойти меры WHCP. Помимо поддельных знаков, такие утилиты также использовались для повторной подписи исправленного программного обеспечения, такого как PrimoCache.

Cisco:

В ходе нашего исследования мы выявили злоумышленников, использующих
HookSignTool и FuckCertVerifyTimeValidity, инструменты для подделки временных меток подписи, которые были общедоступны с 2019 и 2018 годов соответственно, для развертывания этих вредоносных драйверов.

HookSignTool — это инструмент для подделки подписи драйвера, который изменяет дату подписания драйвера в процессе подписания посредством комбинации подключения к Windows API и ручного изменения таблицы импорта законного инструмента для подписи кода.

Подписание вредоносных драйверов — не единственная проблема, связанная с существованием этих инструментов. Во время нашего исследования мы столкнулись с тем, что HookSignTool используется для повторной подписи драйверов после исправления для обхода управления цифровыми правами.

Microsoft добавила все такие драйверы в черный список уязвимых драйверов с обновлениями безопасности Windows (Microsoft Defender 1.391.3822.0 и новее).