Nvidia hackere frigiver kodesigneringscertifikater, som misbruges til malware
Forskere har allerede fundet eksempel på filer underskrevet med de stjålne certifikater.
Hackergruppen, der for nylig brød ind i systemer, der tilhører grafikchipproducenten Nvidia, har udgivet to af virksomhedens gamle kodesigneringscertifikater. Forskere advarer driverne kunne bruges til at underskrive malware og indlæse det på systemer, der har driver-signaturgodkendelse.
Certifikaterne var en del af en stor cache af filer, som hackere hævder i alt 1 TB og omfatter kildekode og API dokumentation for GPU-drivere. Nvidia bekræftede, at det var målet for en indtrængen, og at hackerne tog “medarbejderadgangskoder og nogle Nvidia-relevante oplysninger”, men bekræftede ikke størrelsen af databruddet.
Hvad skete der med Nvidia-lækket?
En afpresningsgruppe kalder sig LAPSUS $ hævdede den 24. Februar offentligt, at det havde administrativ adgang til flere Nvidia-systemer i omkring en uge og formåede at exfiltrate 1 TB data, herunder hardware skemaer, driver kildekode, firmware, dokumentation, private værktøjer og SDKs, og “alt om Falcon” – en hardware sikkerhedsteknologi indlejret i Nvidia GPU’er, der er beregnet til at forhindre disse GPU’er fra at blive programmeret forkert.
Mens Nvidia ikke har frigivet detaljer om, hvad der blev stjålet ud over at bekræfte et cyberangreb, der resulterede i overtrådte data, fulgte LAPSUS $ op med udgivelsen af 20 GB data fra den påståede cache som bevis. Gruppen sagde også, at den har oplysninger om Nvidia LHR (Lite Hash Rate), en teknologi, som virksomheden introducerede på sine RTX 30-serie GPU’er for at give dem mulighed for at opdage, hvornår de bruges til minedrift Ethereum cryptocurrency og sænke deres ydeevne. Målet med denne teknologi var at gøre højtydende Nvidia GPU’er mindre tiltrækkende for cryptocurrency minearbejdere efter disse GPU’er blev næsten umuligt at opnå for regelmæssige spillere på grund af konstant lagermangel.
For at bevise, at de har oplysningerne, udgav LAPSUS$ endda et værktøj, som gruppen hævder giver brugerne mulighed for at omgå LHR-begrænsningen uden at reflashing GPU-firmwaren. Derefter ændrede gruppen deres krav og bad virksomheden om helt at åbne deres GPU-drivere på alle systemer, herunder Linux, hvor manglen på en open source Nvidia-driver har været et omstridt punkt i mange år i samfundet og ses som en af grundene til, at spiludviklingsstudier ikke har omfavnet Linux som en platform.
Hvorfor er kodesigneringscertifikater vigtige?
Kodesigneringscertifikater er certifikater, der lændes tilbage til Microsoft-certifikater, herunder i Windows. Det er muligt at køre programmer, der ikke er signeret, på Windows, men de udløser mere synlige sikkerhedsadvarsler end kørsel af programmer, der er signeret af en udvikler, der er tillid til.
Endnu vigtigere er det, at Windows som standard ikke tillader installation af en driver, der ikke er digitalt signeret med et certifikat, der er tillid til. Denne håndhævelse af digitale signaturer for drivere er en vigtig sikkerhedsfunktion, fordi drivere i modsætning til almindelige brugertilstandsprogrammer kører med kernerettigheder, så de har adgang til de mest privilegerede områder i operativsystemet og kan deaktivere sikkerhedsprodukter. Før denne sikkerhedsfunktion blev introduceret, var rootkits (root-level malware) en almindelig forekomst på Windows.
Digitale signaturer bruges også af ansøgning whitelisting løsninger til at begrænse, hvilke programmer kan udføres på systemer, og til en vis grad af antivirusprogrammer, selv om tilstedeværelsen af en digital signatur alene bør ikke tjene som eneste indikation af, om en fil er ren eller ondsindet. Kodesigneringscertifikater er blevet stjålet fra udviklere før, og hackere kan endda købe dem gennem forskellige kanaler.
Problemet er, at certifikat tilbagekaldelser eller udløb ikke kontrolleres eller håndhæves af alle Windows sikkerhedsmekanismer, herunder den, der kontrollerer, om indlæste drivere er underskrevet, som forklaret i denne DEF CON tale om Windows rootkits af Zoom sikkerhed forsker Bill Demirkapi. Der blev indført en begrænsning på Windows 10 build 1607 og nyere med Secure Boot aktiveret, hvor drivere skal signeres med EV-certifikater (udvidet validering). EV-certifikater kræver omfattende identitetskontrol af den person eller enhed, der anmoder om certifikatet og er derfor sværere at opnå og dyrere.
Nvidia-kodesigneringscertifikaterne, der er frigivet af LAPSUS$ er udløbet siden henholdsvis 2014 og 2018 og er ikke EV, men de kan stadig bruges til at underskrive skadelig kode, der indlæses i kernen på ældre Windows-systemer. De kan også bruges til at forsøge at undgå at blive opdaget af nogle sikkerhedsprodukter.
Forsker Florian Roth har allerede fundet to hack værktøj prøver underskrevet med en af certifikaterne på VirusTotal: En kopi af Mimikatz password dumping værktøj og en kopi af Kernel Driver Utility (KDU), som kan bruges til proces kapring. Forsker Mehmet Ergene fundet endnu mere ondsindede filer underskrevet med certifikatet, herunder en fjernadgang trojan (RAT) for Discord. Mere malware, der misbruger Nvidia certifikater for legitimitet forventes at blive vist.
Roth og Ergene har udgivet en YARA-regel og en forespørgsel til Microsoft Defender for Endpoint (MDE), der kan bruges af sikkerhedsteams til at søge efter filer, der er signeret med disse certifikater i deres miljøer. Microsoft tilbyder også en Windows Defender Application Control-politik til at blokere skadelige drivere, der kan tilpasses til at tilføje nye, og en ASR-regel (Attack Surface Reduction) fra Microsoft Defender til Endpoint.
Kilde: CSOonline