【驗證漏洞】Microsoft安全證書不可信 加料驅動程式輕易取得最高權限
Microsoft一批 Microsoft hardware developer 帳戶的驅動程式,被發現遭注入惡意編碼,由於驅動程式擁有最高 kernel 權限,因此有權停止電腦內的安全工具運行及刪除受保護檔案,部分攻擊更涉及 Cuba 及 Hive 勒索軟件。雖然 Microsoft 已刪除相關帳戶,但對於問題的根源,卻仍然保持沉默。
發現這波攻擊的網絡安全公司分別為 Mandiant、Sophos 及 SentinelOne,雖然三間公司捕獲的攻擊,都不是由同一黑客組織發動,但採用的開發者證書,卻屬於同一批,而且亦使用同一種取得 Microsoft 安全驗證的工具包。
這次攻擊的嚴重性在於,黑客使用了經驗證的帳戶證書。專家解釋,由 Windows 10 開始 Microsoft 要求擁有核心權限的驅動程式,必須在發布時使用 Windows Hardware Developer 計劃所發出的證書,而開發者必須額外購買這張證書,同時通過身分驗證程序。專家指,由於 Microsoft 會審查提交的驅動程式,因而一般網絡安全工具都會信任它們的執行程序,所以這類驅動程式對黑客來說非常寶貴。
專家又說,這波攻擊所使用的惡意工具,包含有兩個組件,分別是用於執行程序的 STONESTOP,以及擁有核心權限的驅動程式 POORTRY。STONESTOP 主要用於關閉端點電腦內的防護工具,而在捕獲的其中一個變種,更具備覆寫及刪除檔案的能力。專家指,由於一般防護工具為免被修改內容,一般都受到保護,而 STONESTOP 則能停止相關保護或覆寫檔案內容,讓 POORTRY 能順利被安裝並運行。
這波攻擊的入侵手法,原來完全不同。Sophos Rapid Response 團隊說,是在一次為客戶處理安全事件時發現,幸好趕得及阻止黑客導入最後的惡意負載,才能避免企業被 Cuba 勒索軟件攻擊。
SentinelOne 則留意到多個黑客瞄準不同行業,例如電訊、託管安全服務及金融機構,而導入的勒索軟件則為勒索軟件 Hive,Mandiant 則從捕獲的攻擊中,鎖定幕後人為專門利用 SIM swapping 方面入侵帳戶的黑客集團 UNC3944。由於三間公司各有不同發現,因此專家認為,他們有可能是從地下市場購買取得安全證書的惡意軟件工具包,而不是自家開發。
現階段,Microsoft 宣布已刪除了相關的帳戶及其電子證書,而且亦為 Microsoft Defender 新加入了病毒特徵,可有效攔截這類惡意軟件,並承諾會加強防護程度。不過,對於為何未能在審查過程中發現惡意內容,則完全未有任何回應,用家只能自求多福。
相關文章:【Cyber Signals】OT與IT系統界線越趨模糊 微軟:關鍵基礎架構風險上升
