Τα κακόβουλα προγράμματα οδήγησης της Microsoft μπορεί να είναι χιλιάδες σύμφωνα με την Cisco Talos

Αφού η Microsoft προειδοποίησε νωρίτερα αυτή την εβδομάδα ότι ορισμένα προγράμματα οδήγησης που έχουν πιστοποιηθεί από το Windows Hardware Developer Program (MWHDP) χρησιμοποιούνται κακόβουλα, ένας ερευνητής ασφαλείας της Cisco Talos δήλωσε ότι ο αριθμός των κακόβουλων προγραμμάτων οδήγησης μπορεί να είναι χιλιάδες.

Ο ερευνητής της Talos, Chris Neal, ανέλυσε το πώς εξελίχθηκε το πρόβλημα ασφαλείας σε μια ανάρτηση blog.

"Ξεκινώντας από τα Windows Vista 64-bit, για να καταπολεμήσει την απειλή των κακόβουλων προγραμμάτων οδήγησης, η Microsoft άρχισε να απαιτεί τα προγράμματα οδήγησης λειτουργίας πυρήνα να είναι ψηφιακά υπογεγραμμένα με πιστοποιητικό από μια επαληθευμένη αρχή πιστοποιητικών", έγραψε ο Neal. "Χωρίς την επιβολή της υπογραφής, τα κακόβουλα προγράμματα οδήγησης θα ήταν εξαιρετικά δύσκολο να αντιμετωπιστούν, καθώς μπορούν εύκολα να παρακάμψουν το λογισμικό anti-malware και την ανίχνευση τελικών σημείων".

Ξεκινώντας από την έκδοση 1607 των Windows 10, δήλωσε ο Neal, η Microsoft απαιτεί από τους οδηγούς λειτουργίας πυρήνα να υπογράφονται από την πύλη προγραμματιστών της. "Αυτή η διαδικασία έχει ως στόχο να διασφαλίσει ότι οι οδηγοί πληρούν τις απαιτήσεις και τα πρότυπα ασφαλείας της Microsoft", έγραψε.

Παρόλα αυτά, υπάρχουν εξαιρέσεις - κυρίως μία για τους οδηγούς που υπογράφονται με πιστοποιητικά που έληξαν ή εκδόθηκαν πριν από τις 29 Ιουλίου 2015.

Εάν ένα πρόσφατο πρόγραμμα οδήγησης υπογράφεται με μη ανακληθέντα πιστοποιητικά που εκδόθηκαν πριν από την ημερομηνία αυτή, δεν θα μπλοκαριστεί. "Ως αποτέλεσμα, έχουν αναπτυχθεί πολλαπλά εργαλεία ανοιχτού κώδικα για να εκμεταλλευτούν αυτό το κενό", έγραψε ο Neal.

Και ενώ η Sophos ανέφερε ότι είχε αποκαλύψει περισσότερα από 100 κακόβουλα προγράμματα οδήγησης, ο Neal δήλωσε ότι η Cisco Talos "έχει παρατηρήσει πολλαπλούς φορείς απειλών να εκμεταλλεύονται το προαναφερθέν παραθυράκι της πολιτικής των Windows για να αναπτύξουν χιλιάδες κακόβουλα, υπογεγραμμένα προγράμματα οδήγησης χωρίς να τα υποβάλουν στη Microsoft για έλεγχο".

Πλαστογραφημένες χρονοσφραγίδες

Ο Neal δήλωσε ότι δύο εργαλεία πλαστογράφησης χρονοσφραγίδων που είναι δημοφιλείς τρόποι ανάπτυξης cheats για παιχνίδια χρησιμοποιούνται τώρα από απειλητικούς παράγοντες. Τα εργαλεία αυτά είναι το FuckCertVerifyTimeValidity, το οποίο ξεκίνησε το 2018, και το HookSignTool, το οποίο είναι διαθέσιμο από το 2019.

"Για την επιτυχή πλαστογράφηση μιας υπογραφής, το HookSignTool και το FuckCertVerifyTimeValidity απαιτούν ένα μη ανακληθέν πιστοποιητικό υπογραφής κώδικα που έληξε ή εκδόθηκε πριν από τις 29 Ιουλίου 2015, μαζί με το ιδιωτικό κλειδί και τον κωδικό πρόσβασης", έγραψε ο Neal. "Κατά τη διάρκεια της έρευνάς μας, εντοπίσαμε ένα αρχείο PFX που φιλοξενείται στο GitHub σε ένα fork του FuckCertVerifyTimeValidity, το οποίο περιείχε περισσότερα από δώδεκα ληγμένα πιστοποιητικά υπογραφής κώδικα που χρησιμοποιούνται συχνά με τα δύο εργαλεία για την παραποίηση υπογραφών".

Και τα δύο εργαλεία αποτελούν σοβαρή απειλή, δήλωσε ο Neal, καθώς οι κακόβουλοι οδηγοί μπορούν να δώσουν στους επιτιθέμενους πρόσβαση σε επίπεδο πυρήνα σε ένα σύστημα. "Η Microsoft, ως απάντηση στην ειδοποίησή μας, έχει μπλοκάρει όλα τα πιστοποιητικά που συζητούνται σε αυτό το blog post", σημείωσε.

Ένα πραγματικό παράδειγμα

Σε μια ξεχωριστή ανάρτηση στο blog, ο Neal περιέγραψε ένα παράδειγμα της απειλής, ένα κακόβουλο πρόγραμμα οδήγησης που ονομάζεται RedDriver και είναι ενεργό τουλάχιστον από το 2021. "Η παράκαμψη των πολιτικών επιβολής υπογραφών των οδηγών με τη χρήση του HookSignTool επιτρέπει σε έναν απειλητικό παράγοντα να αναπτύξει οδηγούς που διαφορετικά θα είχαν αποκλειστεί από την εκτέλεση", έγραψε. "Το RedDriver είναι ένα πραγματικό παράδειγμα αποτελεσματικής χρήσης αυτού του εργαλείου σε κακόβουλο πλαίσιο".

"Κατά τη διάρκεια της έρευνάς μας σχετικά με το HookSignTool, η Cisco Talos παρατήρησε την ανάπτυξη ενός μη τεκμηριωμένου κακόβουλου προγράμματος οδήγησης που χρησιμοποιεί κλεμμένα πιστοποιητικά για να πλαστογραφήσει τις χρονοσφραγίδες υπογραφής, παρακάμπτοντας αποτελεσματικά τις πολιτικές επιβολής υπογραφών προγράμματος οδήγησης εντός των Windows ... Το RedDriver είναι ένα κρίσιμο συστατικό μιας αλυσίδας μόλυνσης πολλαπλών σταδίων που τελικά υποκλέπτει την κυκλοφορία του προγράμματος περιήγησης και την ανακατευθύνει στο localhost (127.0.0.1)", έγραψε ο Neal.

"Μέχρι τη στιγμή της δημοσίευσης, ο τελικός στόχος αυτής της ανακατεύθυνσης της κυκλοφορίας του προγράμματος περιήγησης δεν είναι σαφής", πρόσθεσε. "Ωστόσο, ανεξάρτητα από την πρόθεση, αυτό αποτελεί σημαντική απειλή για κάθε σύστημα που έχει μολυνθεί με το RedDriver, καθώς αυτό επιτρέπει την αλλοίωση όλης της κυκλοφορίας μέσω του προγράμματος περιήγησης".

Άμυνα κατά των υπογεγραμμένων οδηγών

Ο Neal συνέστησε τον αποκλεισμό των εν λόγω πιστοποιητικών, "καθώς τα κακόβουλα προγράμματα οδήγησης είναι δύσκολο να εντοπιστούν ευρετικά (heuristically) και μπλοκάρονται πιο αποτελεσματικά με βάση τα hashes των αρχείων ή τα πιστοποιητικά που χρησιμοποιούνται για την υπογραφή τους. Η σύγκριση της χρονοσφραγίδας της υπογραφής με την ημερομηνία σύνταξης ενός προγράμματος οδήγησης μπορεί μερικές φορές να είναι ένα αποτελεσματικό μέσο για τον εντοπισμό περιπτώσεων πλαστογράφησης χρονοσφραγίδων. Ωστόσο, είναι σημαντικό να σημειωθεί ότι οι ημερομηνίες σύνταξης των προγραμμάτων μπορούν να τροποποιηθούν ώστε να ταιριάζουν με τις χρονοσφραγίδες υπογραφής".

Ο ευαγγελιστής της KnowBe4 για την άμυνα με βάση τα δεδομένα, Roger Grimes, δήλωσε στο eSecurity Planet μέσω ηλεκτρονικού ταχυδρομείου ότι μια ακόμη μεγαλύτερη απειλή θα μπορούσε να παρουσιαστεί εάν ένας επιτιθέμενος δημιουργούσε κάτι εξαιρετικά σκουληκόμορφο. "Ένα wormable exploit που χρησιμοποιεί ένα ψεύτικο πιστοποιητικό υπογραφής θα μπορούσε να προκαλέσει πολλά προβλήματα", δήλωσε.

Τα καλά νέα, δήλωσε ο Grimes, είναι ότι όλα αυτά μπορούν να αποφευχθούν. "Η Microsoft παρέχει διάφορους τρόπους, όπως το Windows Defender Application Control, για να αποτρέψει την ανεπιθύμητη εγκατάσταση προγραμμάτων οδήγησης και λογισμικού", είπε. "Οι πελάτες πρέπει απλώς να ερευνήσουν πώς λειτουργούν και να τους ενεργοποιήσουν. Στη συνέχεια, ολόκληρη αυτή η απειλή εξαφανίζεται".