Tilbagekaldelse af certifikater

Ransomware-gruppen Cuba brugte Microsoft-konti til at viderebringe ødelæggende drivere

Ransomware-banden var i stand til at bruge signerede drivere til at deaktivere slutpunktssikkerhedsværktøjer. Microsoft har tilbagekaldt certifikaterne.

Microsoft suspenderede flere konti på sit hardwareudviklerprogram, der underskrev drivere brugt af en ransomware-gruppe kaldet Cuba til at deaktivere slutpunktssikkerhedsværktøjer. Drivercertifikaterne er blevet tilbagekaldt, og driverne føjes til en blokeringsliste, som Windows-brugere eventuelt kan implementere.

“I de fleste ransomware-hændelser dræber angribere målets sikkerhedssoftware i et vigtigt forløbertrin, før de implementerer selve ransomwaren,” siger forskere fra sikkerhedsfirmaet Sophos i en ny rapport om hændelsen. “I de seneste angreb har nogle hackere henvendt sig til brugen af Windows-drivere til at deaktivere sikkerhedsprodukter.”

Kraften i kernedrivere og Microsofts forsøg på at sikre dem

Kernen er den mest følsomme del af et operativsystem, hvor kode udføres med de højeste privilegier og har fuld kontrol over computeren og dens hardware. For at kommunikere og kontrollere alle hardwarekomponenterne bruger kernen specialiserede stykker kode kaldet enhedsdrivere, der enten er udviklet af Microsoft eller af hardwarefirmaer.

Tilbage i Windows XP’s dage var rootkits (root-level malware) en almindelig trussel og gjorde ofte brug af ondsindede ikke-signerede drivere, men med Windows Vista og Windows 7 begyndte Microsoft at låse dette smuthul ved at håndhæve validering af driversignatur ud af kassen.

Aktuelt understøttede versioner af Windows (Windows 10 og nyere) tillader ikke brugere at installere en kernetilstandsdriver, der ikke er blevet digitalt krydssigneret af Microsoft via Windows Hardware Developer Program. For at driveren skal være egnet til distribution via Windows Update, skal den også certificeres af Microsoft.

Disse nye sikkerhedsfunktioner har gjort brugen af ødelæggende drivere til en sjælden forekomst, men nogle sofistikerede grupper fandt en løsning: udnyttelse af sårbarheder i legitime og pålidelige drivere. Dette skabte et nyt problem, for selvom en driverleverandør udgav en ny version for at lappe en sårbarhed, var der intet, der forhindrede et ondsindet program i at implementere en ældre version af driveren på brugernes systemer.

Microsoft reagerede ved at oprette en sårbar driverblokeringsliste, men dette er kun aktiveret som standard med Windows 11 2022-opdateringen, der blev udgivet i september 2022. For Windows 10 20H2 og Windows 11 21H2 er den kun tilgængelig som en valgfri opdatering. Desuden opdateres denne liste kun en eller to gange om året, når større Windows-versioner frigives. En anden måde at anvende denne blokeringsliste på er gennem Windows Defender Application Control (WDAC).

“De fleste kernedriverangreb har typisk taget BYOVD -formen (Bring Your Own Vulnerable Driver), “sagde Sophos-forskerne. “Nylige eksempler inkluderer BlackByte ransomware, der brugte en sårbar grafikkortoverclocking-driver, og en anden ransomware-aktør, der misbruger en sårbar anti-cheat-driver oprettet af softwareudgiveren af videospillet Genshin Impact.”

Cuba ransomware tager driverangreb til det næste niveau

De seneste angreb fra Cuba ransomware-gruppen, der oprindeligt blev observeret i slutningen af september og oktober, præsenterede en eskalering i Windows-kernedrivermisbrug, fordi de brugte ondsindede kernedrivere, de fik via en legitim kanal: Windows Hardware Developer Program-konti.

“Vi blev underrettet om denne aktivitet af SentinelOne, Mandiant og Sophos den 19. oktober 2022 og udførte efterfølgende en undersøgelse af denne aktivitet,” sagde Microsoft i sin rådgivning. “Denne undersøgelse afslørede, at flere udviklerkonti til Microsoft Partner Center var involveret i at indsende ondsindede drivere for at få en Microsoft-signatur. Et nyt forsøg på at indsende en ondsindet driver til underskrivelse den 29. september 2022 førte til suspension af sælgernes konti i begyndelsen af oktober.

Microsoft har også frigivet sikkerhedsopdateringer, der vil tilbagekalde de certifikater, der blev brugt til at signere de ondsindede drivere.

Cuba ransomware-gruppen brugte driveren som en del af aktiviteter efter udnyttelse i forbindelse med en ondsindet læsserapplikation, hvis formål sandsynligvis var at afslutte processerne for sikkerhedsprodukter, før ransomware blev implementeret. Dette ondsindede værktøj er blevet observeret før, og Mandiant kaldte det BURNTCIGAR tilbage i februar. På det tidspunkt blev det implementeret ved hjælp af en sårbar driver tilknyttet Avast-antivirusprogrammet.

Efter at have fundet den nyeste version af værktøjet underskrevet direkte af Microsoft gennem hardwareudvikler- og drivercertificeringsprogrammet, jagede Sophos-forskerne malware-databaser, herunder VirusTotal til tidligere versioner. De fandt varianter af værktøjet og den ledsagende driver, der var underskrevet med et Nvidia-certifikat, der blev lækket af hackergruppen Lapsus $ samt certifikater tilhørende to kinesiske virksomheder, hvoraf den ene er en udgiver af softwareværktøjer, der ofte markeres som potentielt uønskede applikationer (PUA) af antivirusleverandører.

Dette viser en udvikling i taktikken fra denne gruppe i løbet af det sidste år: fra misbrug af legitime, men sårbare drivere til misbrug af gyldige kodesigneringscertifikater fra udgivere med tvivlsom oprindelse til endelig at infiltrere Microsoft-hardwareudviklerprogrammet og få deres driver underskrevet direkte af Microsoft.

Kilde: CSO

Foto: Pexels

Scroll to Top