Microsoft wciąż podpisuje malware? Mamy dowody

Pojawiają się kolejne przykłady złośliwego oprogramowania podpisanego kluczem cyfrowym Microsoftu. Przez „rygorystyczny” proces certyfikacji sterowników znów przechodzą elementy składowe rootkitów. To nie powinno być możliwe, a miało miejsce kilka razy.

Windows zawiera mechanizm uniemożliwiający ładowanie do systemu niepodpisanych sterowników trybu jądra. Uzasadnieniem takiego działania jest zapobieganie rootkitom: gdy sterownik pracuje z najwyższymi uprawnieniami, może stać się całkowicie niewidzialny dla antywirusów. Zmiana ta, wprowadzona w systemie Windows Vista, została przypieczętowana likwidacją pośrednich urzędów certyfikacji. Dziś sterowniki możliwe do załadowania w systemie może wydawać tylko Microsoft.

To ma sens

Takie podejście ma wiele zalet. Po pierwsze, sterowniki mogą od razu lądować z Windows Update i tak długo, jak nie chodzi o kartę sieciową, system jest w stanie pobrać je samodzielnie, bez konieczności polowania na sterowniki na stronie producenta. Po drugie, zapewnia ochronę przed firmami niegodnymi zaufania. Jeżeli jakiś podrzędny producent kiepsko pilnuje swojego klucza prywatnego, zachodziło ryzyko wycieku. Zanim zostałoby wydane CRL dla nadużywanego certyfikatu, złośliwe oprogramowanie miałoby możliwość ładowania rootkitów.

Gdy certyfikatów pilnuje wyłącznie Microsoft, ich wyciek byłby równoznaczny z „położeniem” całego łańcucha zaufania Windows Update. Konsekwencje takiego zdarzenia są nie do przeszacowania, a świadomość tego faktu wydaje się być bardzo niska. Dlatego Microsoft pilnuje swoich kluczy całkiem nieźle. Sterownik musi zostać zgłoszony do programu Windows Hardware Compatibility Program (WHCP/WHQL). Gdy osiągnie on certyfikację, staje się możliwy do załadowania w Windows.

Choć dzisiejsza dokumentacja WHCP nie wspomina o przeprowadzaniu skanów antywirusowych, Microsoft chwali się szerokim wykorzystaniem różnych form ochrony dostarczanych przez narzędzia Microsoft Defender. Trudno podejrzewać, że zgłaszane do certyfikacji sterowniki nie są skanowane antywirusowo, ale oprogramowanie AV jest szalenie nieskuteczne jako sposób ochrony przez nowymi zagrożeniami.

Kiepska kontrola

Problem leży w procesie. Firmy otrzymują konta w programie WHCP i używają ich do zgłaszania sterowników. Zachodzi domniemanie, że firmy te nie są podstawionymi frontami dla działań cyberprzestępców i zgłaszane przez nich oprogramowanie dotyczy prawdziwego sprzętu. Okazuje się jednak, że weryfikacja posiadaczy kont jest bardzo pobieżna i czasem niewystarczająca.

Pierwszy raz na ten temat pisano nieco ponad rok temu, gdy Karsten Hahn z G-Data zwrócił uwagę na sterownik „Netfilter” podpisany przez Microsoft, a w praktyce należący do trojana Wacapew. Microsoft przyznał, że podpisał złośliwy sterownik i zawiesił konto zgłaszającego do WHQL, ale w ogłoszeniu nie powiedziano nic o słabościach systemu certyfikacji. Zamiast tego, w rozbudowany sposób opisano działanie złośliwego sterownika oraz ochronę świadczoną przez Defendera.

Tymczasem minął rok, a Karsten Hahn zaprezentował kolejny przykład trojana podpisanego przez Microsoft Windows Hardware Compatibility Publisher, urząd zaufany Microsoft Root Certificate Authority. Podpis wystawiono we wrześniu. Zjawisko nie jest nowe, ale jest o nim bardzo cicho. Microsoft nie jest też skory do dyskusji na temat WHCP pod kątem słabości procesu. A konsekwencje nonszalancji w podpisywaniu są w niektórych sytuacjach nieodróżnialne od efektów kradzieży klucza.

Inne zagrożenia

Podpisany przez Microsoft malware był rzadkością. Dotychczas malware obchodził wymaganie podpisów na inne sposoby. Należały do nich:

  • wykorzystanie skradzionego podpisu firmy trzeciej (dziś już niemożliwe),
  • wykorzystanie podatności w prawdziwym, „niewinnym” sterowniku celem skłonienia go do wykonania złośliwego kodu,
  • ukrywanie payloadu w pliku sterownika bez unieważniania jego podpisu (póki co załatane).

Degradacja zaufania do WHCP to zły znak i zwiastun nadchodzących problemów z zaufaniem do aplikacji Microsoft Store i aktualizacji Windows Update. Microsoft musi zadbać o poprawę jakości procesu podpisywania sterowników.

Podziel się postem:

Najnowsze:

Oprogramowanie

Unia Europejska przejdzie na Linuxa? Powstaje dystrybucja EU OS

Unia Europejska może wkrótce podjąć kroki w kierunku uniezależnienia się od amerykańskiego oprogramowania. Społeczność entuzjastów pod patronatem władz UE pracuje nad projektem EU OS, który ma zastąpić system operacyjny Windows w instytucjach rządowych. Wybór padł na modyfikację dystrybucji Fedora Linux, która zostanie dostosowana do potrzeb urzędników poprzez interfejs przypominający Windows.

Bezpieczeństwo

Przełomowa kwantowa technologia generowania liczb losowych z WAT: Szczegółowa analiza i perspektywy

W dzisiejszym zaawansowanym technologicznie świecie, prawdziwie losowe liczby stanowią fundament wielu kluczowych dziedzin. Od zabezpieczania komunikacji poprzez kryptografię aż po przeprowadzanie złożonych symulacji naukowych i inżynierskich , generowanie nieprzewidywalnych sekwencji danych jest niezbędne. Losowość odgrywa również istotną rolę w grach losowych , w sektorze finansowym , gdzie zapewnia unikalność transakcji, oraz w badaniach statystycznych. W kryptografii, siła klucza szyfrującego jest bezpośrednio związana z jakością i stopniem losowości użytym do jego wygenerowania . Im wyższa entropia źródła losowego, tym trudniejszy do złamania staje się klucz. Prawdziwa losowość jest zatem kluczowym elementem zapewniającym bezpieczeństwo w cyberprzestrzeni, wzmacniając algorytmy szyfrujące i chroniąc integralność przesyłanych oraz przechowywanych danych . Zapotrzebowanie na generatory liczb losowych o wysokiej jakości i nieprzewidywalności stale rośnie, co jest bezpośrednio powiązane z postępem technologicznym i coraz większym znaczeniem bezpieczeństwa informacji. Wraz z dynamicznym przenoszeniem coraz większej liczby aspektów naszego życia do sfery cyfrowej, ilość generowanych i przesyłanych danych nieustannie wzrasta. Ochrona tych danych przed nieautoryzowanym dostępem i manipulacją staje się priorytetem, a prawdziwa losowość jest nieodzownym narzędziem do skutecznego szyfrowania i zabezpieczania przed różnego rodzaju atakami.

Bezpieczeństwo

Prawdopodobnie DeepSeek Zna Twoje Sekrety: Analiza Bezpieczeństwa Danych Treningowych LLM

Prawdopodobnie DeepSeek zna Wasze sekrety oraz klucze API! Takie ostrzeżenie pojawiło się na łamach Sekurak.pl. W dynamicznie rozwijającym się świecie dużych modeli językowych (LLM), gdzie innowacje pojawiają się niemal codziennie, DeepSeek AI szybko zyskał miano znaczącego gracza, budząc zainteresowanie swoimi możliwościami i efektywnością. Jednakże, wraz z postępem technologicznym, pojawiają się również nowe wyzwania w obszarze bezpieczeństwa. Niedawne odkrycie dokonane przez badaczy z Truffle Security rzuca nowe światło na potencjalne zagrożenia związane z danymi treningowymi tych zaawansowanych modeli. Wnikliwa analiza publicznie dostępnego zbioru danych Common Crawl, wykorzystywanego do trenowania LLM, w tym DeepSeek, ujawniła obecność licznych, potencjalnie wciąż aktywnych kluczy API i haseł.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *