Hackers estão usando ferramentas de código aberto para explorar uma brecha de política do Windows para drivers de modo kernel carregarem drivers maliciosos e não verificados com certificados expirados, descobriram pesquisadores. A atividade – direcionada principalmente a usuários do Windows de língua chinesa – potencialmente dá aos agentes de ameaças acesso total aos sistemas das vítimas.
Pesquisadores do Cisco Talos descobriram a atividade maliciosa, que se aproveita de uma exceção na política de assinatura de drivers do Windows da Microsoft que permite a assinatura e o carregamento de drivers de modo kernel com assinatura cruzada com carimbo de data/hora de assinatura antes de 29 de julho de 2015, revelaram eles em uma postagem no blog em 11 de julho.
“Os atores estão aproveitando várias ferramentas de código aberto que alteram a data de assinatura dos drivers do modo kernel para carregar drivers maliciosos e não verificados assinados com certificados expirados”, escreveu Chris Neal, pesquisador de divulgação do Cisco Talos, no post.
Até agora, os pesquisadores observaram mais de uma dúzia de certificados de assinatura de código com chaves e senhas contidas em um arquivo PFX hospedado no GitHub usado em conjunto com essas ferramentas de código aberto. Entre essas ferramentas estão as ferramentas de forjamento de carimbo de data/hora de assinatura HookSignTool e FuckCertVerifyTimeValidity, que estão disponíveis publicamente desde 2019 e 2018, respectivamente.
Em uma postagem separada, o Cisco Talos descreveu como um dos drivers maliciosos – apelidado de RedDriver – usa o HookSignTool para forjar seu carimbo de data/hora de assinatura para ignorar as políticas de assinatura de driver do Windows. Os agentes da ameaça usaram código de várias ferramentas de código aberto no desenvolvimento da cadeia de infecção do RedDriver, incluindo HP-Socket e uma implementação personalizada do ReflectiveLoader, descobriram os pesquisadores. Além disso, os autores do RedDriver parecem ser hábeis no desenvolvimento de drivers e têm profundo conhecimento do sistema operacional Windows.
O RedDriver – como a maioria dos drivers maliciosos que os pesquisadores descobriram – continha um código de idioma chinês simplificado em seus metadados, sugerindo que os atores estão visando falantes nativos de chinês. O Cisco Talos também identificou uma instância de uma das ferramentas de código aberto sendo usada para alterar datas de assinatura executando a mesma tarefa em drivers quebrados para ignorar o gerenciamento de direitos digitais (DRM).
Aquisição completa do sistema operacional Windows
Os drivers do modo kernel fazem parte da camada central do sistema operacional Windows, fornecendo as funções essenciais e necessárias para executar o sistema. Os drivers facilitam a comunicação entre essa camada e o modo de usuário, onde residem os arquivos e aplicativos com os quais os usuários interagem.
“Dividir o sistema operacional em dois modos cria uma barreira lógica altamente controlada entre o usuário médio e o kernel do Windows“, escreveu Neal. “Essa barreira é fundamental para manter a integridade e a segurança do sistema operacional, pois o acesso ao kernel fornece acesso completo a um sistema.”
Ao carregar um driver malicioso no modo kernel, os invasores podem romper essa barreira segura e comprometer todo o sistema, manipulando processos de modo de sistema e usuário, disse ele. Ao mesmo tempo, eles evitam a detecção de endpoint e podem manter a persistência em um sistema infectado.
“Essas vantagens fornecem um incentivo significativo para que os invasores descubram maneiras de ignorar as políticas de assinatura de driver do Windows”, escreveu Neal.
O Cisco Talos informou a Microsoft sobre a descoberta dos pesquisadores e, em resposta, a empresa bloqueou todos os certificados que foram identificados como associados a drivers maliciosos. A empresa também emitiu um comunicado informando seus clientes para estarem cientes de que os drivers estão sendo usados para obter privilégios de administrador em sistemas comprometidos.
Após uma investigação, a empresa determinou que “a atividade se limitou ao abuso de várias contas de programas de desenvolvedores” e que nenhuma conta da Microsoft foi comprometida. “Suspendemos as contas de vendedor dos parceiros e implementamos detecções de bloqueio para todos os drivers maliciosos relatados para ajudar a proteger os clientes dessa ameaça”, disse a empresa.
Criando a brecha da política de driver do Windows
A Microsoft começou a exigir que os drivers de modo kernel fossem assinados digitalmente com um certificado de uma autoridade de certificação verificada a partir do Windows Vista de 64 bits para combater a ameaça de drivers mal-intencionados. No entanto, a partir do Windows 10, versão 1607, a Microsoft atualizou sua política de assinatura de driver para proibir o uso de novos drivers de modo kernel que não foram enviados e assinados por seu Portal do Desenvolvedor.
Ao mesmo tempo, a empresa teve que garantir que os drivers mais antigos ainda mantivessem a funcionalidade e a compatibilidade, então criou algumas exceções – uma das quais criou o problema no centro da exploração. Ele afirma que os drivers assinados com um certificado de entidade final emitido antes de 29 de julho de 2015 que encadeiam a uma autoridade de certificação com assinatura cruzada de suporte ainda são válidos.
Isso efetivamente criou uma brecha permitindo que um driver recém-compilado fosse assinado com certificados não revogados emitidos antes ou expirados antes dessa data, desde que ele seja encadeado a uma autoridade de certificação com assinatura cruzada com suporte. Um driver assinado dessa forma pode ser instalado e iniciado como um serviço na camada do kernel do sistema operacional, atividade que é ainda mais facilitada pela disponibilidade de várias ferramentas de código aberto para explorar essa brecha, disse Neal.
Mitigando a ameaça cibernética do kernel do Windows
O Cisco Talos inclui uma lista dos certificados expirados associados a drivers maliciosos em sua postagem e recomenda que os usuários do Windows também os bloqueiem, observando que os drivers mal-intencionados são bloqueados com mais eficiência com base em hashes de arquivo ou nos certificados usados para assiná-los. Como mencionado anteriormente, a Microsoft também tomou medidas para bloquear os certificados que o Cisco Talos relatou a eles.
Comparar o carimbo de data/hora da assinatura com a data de compilação de um driver também pode, às vezes, ser um meio eficaz de detectar instâncias de falsificação de carimbo de data/hora. No entanto, como as datas de compilação podem ser alteradas para corresponder aos carimbos de data/hora da assinatura, esse método de defesa nem sempre é abrangente, de acordo com o Cisco Talos.
“O Cisco Talos criou cobertura para os certificados discutidos neste blog e continuará a monitorar essa atividade de ameaça para informar proteções futuras”, escreveu Neal. “Além disso, relataremos quaisquer descobertas futuras sobre essa ameaça à Microsoft.”
FONTE: DARK READING