0
0
Em julho, pesquisadores de segurança revelaram uma descoberta preocupante: centenas de malwares usados por vários grupos de hackers para infectar dispositivos Windows foram assinados digitalmente e validados como seguros pela própria Microsoft. Na terça-feira, um grupo diferente de pesquisadores fez um anúncio igualmente solene: as chaves digitais da Microsoft foram sequestradas para assinar ainda mais malware para uso por um ator de ameaça até então desconhecido em um ataque à cadeia de suprimentos que infectou cerca de 100 vítimas cuidadosamente selecionadas.
O malware, relataram pesquisadores da equipe Threat Hunter da Symantec , foi assinado digitalmente com um certificado para uso no que é conhecido como Microsoft Windows Hardware Developer Program e Microsoft Windows Hardware Compatibility Program . O programa é usado para certificar que os drivers de dispositivo – o software executado nas profundezas do kernel do Windows – vêm de uma fonte conhecida e que podem ser confiáveis para acessar com segurança os recantos mais profundos e sensíveis do sistema operacional. Sem a certificação, os drivers não são elegíveis para execução no Windows.
Sequestrando chaves do reino
De alguma forma, os membros dessa equipe de hackers – que a Symantec chama de Carderbee – conseguiram fazer com que a Microsoft assinasse digitalmente um tipo de malware conhecido como rootkit. Uma vez instalados, os rootkits se tornam essencialmente uma extensão do sistema operacional. Para obter esse nível de acesso sem avisar os sistemas de segurança de endpoint e outras defesas, os hackers do Carderbee primeiro precisaram que seu rootkit recebesse o selo de aprovação da Microsoft, que obteve depois que a Microsoft o assinou.
Com o rootkit assinado, Carderbee realizou outro feito audacioso. Por meios que ainda não estão claros, o grupo atacou a infraestrutura da Esafenet , uma desenvolvedora de software com sede na China, conhecida como Cobra DocGuard Client, para criptografar e descriptografar software para que não possa ser adulterado. Então, Carderbee usou seu novo controle para enviar atualizações maliciosas para cerca de 2.000 organizações que são clientes do Cobra DocGuard. Os membros do grupo de hackers enviaram o rootkit assinado pela Microsoft para cerca de 100 dessas organizações. Representantes da Esafenet e de sua controladora, NSFOCUS, não responderam a um e-mail solicitando verificação.
“Parece claro que os atacantes por trás desta atividade são atores pacientes e qualificados”, escreveram os pesquisadores da Symantec. “Eles aproveitam tanto um ataque à cadeia de suprimentos quanto um malware assinado para realizar suas atividades, na tentativa de permanecer fora do radar. O fato de que eles parecem implantar sua carga apenas em alguns computadores aos quais obtêm acesso também aponta para um certo planejamento e reconhecimento por parte dos invasores por trás dessa atividade.”
A Microsoft implementou o programa obrigatório com o lançamento do Windows 10. Os invasores há muito usavam drivers em atividades pós-exploração, ou seja, depois de hackear um sistema e obter acesso administrativo. Embora os invasores já pudessem instalar aplicativos, roubar senhas e tomar outras liberdades, a execução de código no kernel lhes permitiu fazer coisas que de outra forma seriam impossíveis. Por exemplo, eles poderiam suprimir avisos de sistemas de detecção e resposta de endpoints e outras defesas. A partir de então, os drivers que precisavam de acesso ao kernel tiveram que ser assinados digitalmente.
O uso de certificados da Microsoft pela Carderbee para assinar seu malware não é de forma alguma um incidente isolado. Em julho, a empresa de segurança Sophos relatou a descoberta de 133 drivers maliciosos, 100 dos quais foram assinados digitalmente pela Microsoft e os restantes por outras partes confiáveis que não foram identificadas. As contratações datavam de abril de 2021. Em dezembro, a Sophos relatou a descoberta de outro driver malicioso assinado pela Microsoft.
O relatório de julho da Sophos coincidiu com publicações relacionadas da empresa de segurança Trend e da Microsoft. A Trend disse ter descoberto um malware recém-descoberto que veio como um driver de kernel autônomo assinado diretamente pela Microsoft por meio de seu programa de compatibilidade de hardware. Assinaturas comprometidas são “um vetor de ataque em evolução que tem aparecido frequentemente no cenário atual de malware”, escreveram os pesquisadores da Trend. “Apesar de quão complexo seja construir tais capacidades, parece que os actuais actores maliciosos estão a demonstrar competência e uso consistente de tais ferramentas, tácticas e procedimentos (TTPs), independentemente do seu motivo e objectivos finais.”
Enquanto isso, a Microsoft publicou um post afirmando que as assinaturas maliciosas foram o resultado de “várias contas de desenvolvedores do Microsoft Partner Center… envolvidas no envio de drivers maliciosos para obter uma assinatura da Microsoft”. Todas as contas de desenvolvedores envolvidas, disse a Microsoft, foram imediatamente suspensas assim que foram capturadas. A empresa também adicionou drivers maliciosos assinados a uma lista de bloqueios. (No ano passado, os pesquisadores mostraram que, apesar das repetidas afirmações da Microsoft em contrário, a lista de bloqueios não funcionou .)
Se no começo você não tiver sucesso, falhe, falhe novamente
A declaração de julho da Microsoft foi quase uma cópia literal da emitida em dezembro passado , depois de ter sido informada dois meses antes pelas empresas de segurança SentinelOne, Mandiant e Sophos sobre abusos semelhantes de seu programa de assinatura de driver. O processo de obtenção de uma assinatura também é conhecido como atestado. Exige que a parte solicitante assine seu software com o que é conhecido como certificado de validação estendida , um tipo de credencial digital que verifica a identidade da parte.
Em uma postagem intitulada Juro solenemente que meu driver não é bom: caçando malware assinado por atestado , os pesquisadores da Mandiant escreveram:
A Mandiant tem observado continuamente que os agentes de ameaças usam certificados de assinatura de código comprometidos, roubados e adquiridos ilicitamente para assinar malware, emprestando legitimidade e subvertendo controles de segurança, como políticas de lista de permissões de aplicativos. Os drivers assinados com atestado pegam a confiança que lhes é concedida pela CA e a transferem para um arquivo cuja assinatura Authenticode é originária da própria Microsoft. Avaliamos com grande confiança que os agentes de ameaças subverteram esse processo usando certificados de assinatura de código EV obtidos ilicitamente para enviar pacotes de driver por meio do processo de assinatura de atestado e, na verdade, tiveram seu malware assinado diretamente pela Microsoft.
Mandiant disse que os drivers foram assinados diretamente pela Microsoft e exigiam uma inspeção com o código da assinatura subjacente para identificar o desenvolvedor de software que os solicitou. A empresa de segurança acrescentou que as assinaturas da Microsoft apareceram em “várias famílias distintas de malware associadas a agentes de ameaças distintos” e envolviam pelo menos nove nomes de organizações exclusivos. Os principais malwares assinados foram aqueles rastreados como Poortry e Stonestop, ambos usados para encerrar processos de detecção de antivírus e endpoint em sistemas infectados.
Em sua própria postagem , os pesquisadores do SentinelOne teorizaram sobre as possíveis maneiras pelas quais o processo de assinatura da Microsoft continuava sendo sequestrado:
Estamos altamente confiantes de que os drivers maliciosos mencionados acima, bem como o de junho de 2021, foram usados por diferentes agentes de ameaças. Isto levanta uma questão importante: o processo de assinatura do driver está sendo explorado por um(s) fornecedor(es) e oferecido como um serviço disponível a vários atores de ameaças dispostos a pagar?
Uma teoria concorrente é que vários agentes de ameaças comprometeram desenvolvedores de drivers legítimos e usaram sub-repticiamente seu certificado EV para assinar e enviar drivers maliciosos usando sua conta de desenvolvedor. No entanto, este cenário é menos provável devido à exigência de que as chaves privadas EV sejam armazenadas num token de hardware físico destinado a ajudar a prevenir o roubo digital.
Outras evidências que apoiam a teoria do “fornecedor” decorrem da funcionalidade e design semelhantes dos drivers. Embora tenham sido usados por dois atores de ameaças diferentes, eles funcionavam praticamente da mesma maneira. Isso indica que eles foram possivelmente desenvolvidos pela mesma pessoa e posteriormente vendidos para uso por outra pessoa.
Ainda há mais incidentes relatados de assinatura de software malicioso pela Microsoft. Em junho de 2021, por exemplo, a empresa deu seu aval digital a um driver com o nome inócuo Netfilter. Um pesquisador da empresa de segurança G Data descobriu mais tarde que era um rootkit que descriptografava comunicações criptografadas , provavelmente para espionar comunicações SSL.
Nos últimos meses, a Microsoft tem sido duramente criticada por práticas de segurança que levaram à violação de dezenas de contas pertencentes a clientes que utilizam as ofertas de nuvem Azure e Exchange da empresa. O que é indiscutivelmente pior foram as notificações opacas da empresa sobre esses eventos e o papel que a Microsoft desempenhou em suas origens. O CEO e presidente da empresa de segurança Tenable, Amit Yoran, disse recentemente que a segurança da empresa estava atolada em práticas “grosseiramente irresponsáveis” e numa “cultura de ofuscação tóxica”.
Essas mesmas dinâmicas estão em jogo nas recentes falhas da Microsoft no policiamento dos processos que implementou para certificar digitalmente drivers confiáveis do Windows. Os avisos quase literais mencionados anteriormente – um de dezembro passado e outro do mês passado – ilustram que tudo o que a empresa tem feito para bloquear o programa não está funcionando. Eles também mostram como a empresa depende de notificações vagas e ambíguas que visam tanto ocultar quanto informar.
O requisito de assinatura de driver da Microsoft baseia-se em um conceito conhecido como segurança em profundidade. A ideia é ter múltiplas camadas de segurança para que, se uma falhar, outra evite uma violação ou pelo menos contenha os danos. Nesse caso, os certificados são uma proteção projetada para diminuir os danos causados quando um adversário obtém direitos de sistema administrativo para um dispositivo comprometido.
Praticamente todos os incidentes de sequestro de chaves relatados nos últimos anos foram atribuídos a hackers chineses, geralmente para fins de espionagem. A série de falhas da Microsoft no bloqueio do seu programa de certificação, e a sua reticência na sua divulgação, estão a minar todo o conceito de segurança, para deleite destes adversários.
FONTE: ARS TECHNICA