Поделиться
В безопасности Windows много лет есть «дыра» для китайских хакеров, но Microsoft ее не заделывает
Слабое место в политике безопасности Microsoft, которое позволяет подгружать в систему драйверы уровня ядра с поддельной подписью, сохраняется, но Microsoft осложнила жизнь тем, кто пытался использовать ее в нелегитимных целях.
Драйверы с максимальными привилегиями
Корпорация Microsoft частично устранила существенную уязвимость в Windows, позволявшую злоумышленникам подгружать вредоносные драйверы ядра в скомпрометированные системы. Проблему активно эксплуатировали китайские хакеры. Решать вопрос кардинально в корпорации, однако, не хотят, отмечает издание Bleeping Computer.
Драйверы ядра функционируют с максимальными привилегиями (Ring 0), что в случае злонамеренного их использования обеспечивает полный доступ к целевой системе, возможность долго сохранять в ней незаметное присутствие, выводить данные, исключая обнаружение, и блокировать почти любой процесс.
Защитные средства уровня операционной системы не помогут: драйвер ядра способен вмешиваться в их функционирование и нейтрализовывать наиболее продвинутые средства защиты. Или даже перенастраивать их, чтобы оставаться невидимым.
С выходом Windows Vista Microsoft внесла ряд изменений в политику загрузки драйверов ядра в операционную систему. В частности, разработчиков обязали представлять свои драйверы на экспертизу и обеспечивать цифровую подпись через портал разработок.
Однако, чтобы избежать проблем со старыми приложениями, Microsoft представила ряд исключений.
Старые драйверы ядра могли быть загружены в операционную систему, если она была обновлена до Windows 10 версии 1607 с более старой, если в BIOS отключена опция безопасной загрузки (Secure Boot) и если драйверы были подписаны сертификатом конечного объекта, выпущенным до 29 июля 2015 г., который связан с поддерживаемым центром сертификации с перекрестной подписью.
Именно третье исключение стало той самой уязвимой точкой, которую стали эксплуатировать китайские кибершпионы.
Чем подписать
По данным компании Cisco Talos, хакеры также использовали два опенсорсных инструмента — HookSignTool и FuckCertVerify, чтобы подменять дату получения электронной подписи — якобы до 29 июля 2015 г.
Это позволило злоумышленникам использовать устаревшие, утекшие и неотозванные сертификаты, чтобы подписывать свои вредоносные драйверы и подгружать их в Windows, чтобы получить максимальные привилегии.
HookSignTool — инструмент, впервые замеченный в 2019 г. на китайскоязычном хакерском форуме, который использует перехват (hooking) API Windows наряду с легитимным инструментом назначения цифровых подписей. Этот инструмент использует библиотеку Microsoft Detours для перехвата и мониторинга вызовов API Win32 и специализированную реализацию функции CertVerifyTimeValidity — NewCertVerifyTimeValidity, позволяющую производить верификацию некорректных дат.
HackSignTool требует присутствия сертификата JemmyLoveJennyEVRootCAcertificate, чтобы подписывать драйверы с измененными датами. Он распространяется с сайта автора инструмента.
Впрочем, использование этого сертификата оставляет артефакты, позволяющие выявить драйверы, подписанные HookSignTool.
HookSignTool использовался для снабжения подписью вредоносного драйвера RedDriver, применяемого для перехвата трафика в браузерах Chrome, Edge и Firefox, а также нескольких других, популярных, главным образом, в Китае.
FuckCertVerify — еще один инструмент, которым злоумышленники пользуются для изменения даты вредоносных драйверов ядра. Он впервые появился в 2018 г.: разработчик выложил его на GitHub как средство создания читов для игр.
Он работает сходным с HookSignTool образом, но не оставляет артефактов, так что выявить его использование оказывается намного сложнее.
И HookSignTool, и FuckCertVerify требуют наличия неотозванных сертификатов, выпущенных до 29 июля 2015 г., а также приватные ключи и пароли к ним.
В собственном бюллетене, опубликованном Microsoft, указывается, что вредоносные драйверы, подписанные с помощью этих инструментов, также выявляли компании Sophos и Trend Micro.
Не уязвимость
Microsoft уже отозвала все поддельные сертификаты и заблокировала аккаунты разработчиков, которые использовали лазейку с политикой Windows.
При этом индекс CVE назначен не был, поскольку в Microsoft не считают, что это уязвимость, отмечает Bleeping Computer.
В Sophos, в свою очередь, отметили, что ее эксперты обнаружили более сотни вредоносных драйверов, нацеленных на деактивацию защитных программ, которые обычно сами блокируют любые попытки их отключить со стороны приложений, функционирующих в пользовательском режиме.
Драйверы уровня ядра способны заблокировать любые программы, включая защищенные антивирусные средства.
«Отзыв сертификатов отдельных вредоносных драйверов и блокировка их разработчиков ничего особенного не даст, — считает Никита Павлов, эксперт по информационной безопасности компании SEQ. — Политика Microsoft не поменялась, краденые сертификаты и инструменты для подмены их дат тоже никуда не исчезли, а значит можно ожидать новых атак с использованием драйверов уровня ядра».
Короткая ссылка
