Es wurde beobachtet, dass ein Schlupfloch in den Microsoft Windows-Richtlinien vor allem von Bedrohungsakteuren mit Chinesisch als Muttersprache ausgenutzt wird, um Signaturen auf Kernel-Mode-Treibern zu fälschen.
Laut einem umfassenden zweiteiligen Bericht von Cisco Talos, der mit The Hacker News geteilt wurde, nutzen die Akteure mehrere Open-Source-Tools, um das Signaturdatum von Kernel-Mode-Treibern zu ändern und bösartige und nicht verifizierte Treiber zu laden, die mit abgelaufenen Zertifikaten signiert sind. Dies ist eine große Bedrohung, da der Zugriff auf den Kernel vollständigen Zugriff auf ein System ermöglicht und somit eine vollständige Kompromittierung darstellt.
Nach verantwortungsbewusster Offenlegung erklärte Microsoft, dass es Massnahmen ergriffen habe, um alle Zertifikate zu blockieren und die Bedrohung einzudämmen. Es stellte weiterhin fest, dass die Aktivität auf den Missbrauch mehrerer Entwicklerkonten beschränkt war und keine Kompromittierung von Microsoft-Konten festgestellt wurde.
Der Tech-Gigant betonte neben der Sperrung der Entwicklerkonten, die in den Vorfall verwickelt waren, dass die Bedrohungsakteure bereits vor der Verwendung der Treiber administrative Privilegien auf kompromittierten Systemen erlangt hatten.
Es sei darauf hingewiesen, dass der Windows-Hersteller im Dezember 2022 ähnliche Sperrschutzmassnahmen eingeführt hatte, um zu verhindern, dass Ransomware-Angreifer Microsoft-signierte Treiber für Post-Exploitation-Aktivitäten verwenden.
Die Durchsetzung der Treibersignatur, die erfordert, dass Kernel-Mode-Treiber mit einem Zertifikat aus Microsofts Entwicklerportal digital signiert werden, ist eine wichtige Verteidigungslinie gegen bösartige Treiber, die potenziell dazu verwendet werden könnten, Sicherheitslösungen zu umgehen, Systemprozesse zu manipulieren und Persistenz zu gewährleisten. Die Richtlinienänderung wurde mit der Einführung von Windows Vista eingeführt.
Die von Cisco Talos entdeckte Schwachstelle ermöglicht es, Signaturen auf Kernel-Mode-Treibern zu fälschen und somit die Windows-Zertifikatsrichtlinien zu umgehen.
Dies wird durch eine von Microsoft geschaffene Ausnahme ermöglicht, um die Kompatibilität zu gewährleisten. Dadurch werden Cross-Signed-Treiber zugelassen, wenn der Computer von einer früheren Version von Windows auf Windows 10, Version 1607, aktualisiert wurde, Secure Boot im BIOS deaktiviert ist und die Treiber „mit einem End-Entity-Zertifikat signiert wurden, das vor dem 29. Juli 2015 ausgestellt wurde und eine unterstützte Cross-Signed-Zertifizierungsstelle verknüpft ist.
Die dritte Ausnahme schafft eine Schlupfloch, das es ermöglicht, einen neu kompilierten Treiber mit nicht widerrufenen Zertifikaten zu signieren, die vor dem 29. Juli 2015 ausgestellt wurden oder abgelaufen sind, sofern das Zertifikat zu einer unterstützten Cross-Signed-Zertifizierungsstelle verknüpft ist, erklärte das Cybersicherheitsunternehmen.
Daher wird ein auf diese Weise signierter Treiber nicht daran gehindert, auf einem Windows-Gerät geladen zu werden, was es Bedrohungsakteuren ermöglicht, die Schlupfklausel auszunutzen, um Tausende bösartiger signierter Treiber ohne Überprüfung durch Microsoft einzusetzen.
Diese betrügerischen Treiber werden mithilfe von Software zur Signaturzeitstempelfälschung wie HookSignTool und FuckCertVerifyTimeValidity bereitgestellt, die seit 2019 bzw. 2018 öffentlich verfügbar sind.
HookSignTool ist seit dem 7. Januar 2020 über GitHub zugänglich, während FuckCertVerifyTimeValidity erstmals am 14. Dezember 2018 auf den Code-Hosting-Dienst hochgeladen wurde.
Original Artikel hier: https://thehackernews.com/2023/07/hackers-exploit-windows-policy-loophole.html
