流年不利？Nvidia遭竊憑證被駭客用來簽發散佈惡意程式

上周GPU大廠Nvidia被駭客組織Lapsus$竊走員工電子郵件、產品設計圖及驗證資料，並且公開釋出，馬上看到第一個對大眾的影響。

研究人員在惡意軟體樣本資料庫VirusTotal發現至少有兩個二進位檔是以Nvidia的憑證所簽發。顯然駭客開始使用Nvidia的簽章憑證來簽發惡意程式，並用來冒充Nvidia所提供的檔案。

以Nvidia憑證簽發的二進位檔之一是Mimikaz，能讓攻擊者列舉並檢視系統上儲存的登入密碼以便橫向移動。其他還包括Cobalt Strike beacon、後門程式、以及遠端存取木馬(RAT)，包括Quasar RAT及一個Windows 驅動程式。

簽發程式碼的憑證讓程式開發商可簽發驅動程式及執行檔，讓Windows和用戶驗證檔案所有者，以及確認檔案未被其他人竄改過。如果在Windows上執行未簽發過的程式，或程式使用的憑證過期，Windows會發出安全警示，而不會正常運作。

但在Windows現行簽發政策中，卻為惡意程式作者開了個大門。根據微軟Windows的驅動程式簽發政策，在2015年7月29日以前發出的用戶端(end-entity)憑證所簽發的驅動程式，只要是串鍊到交互簽發的CA，Windows就會執行這些驅動程式。

研究人員發現，Nvidia這些憑證早在2014年就已經過期，但Windows仍然允許這些憑證用來簽發驅動程式。

要防範Nvidia被竊憑證繼續為害並不容易。雖然你可以設定Windows Defender 應用程式控管政策來防止特定Nvidia驅動程式下載，但需要相當高的功力。微軟也可以將被竊的憑證列入憑證撤銷名單，但又會影響合法的Nvidia驅動程式（以及其最優異的顯卡）。因此微軟可能短期內不會採取第二項個選項。

來源：Computing