吳明宜多家安全業者警告,網路歹徒已經使用經微軟簽發的惡意驅動程式來關閉防毒軟體、端點偵測與防護 (EDR) 產品的行程。
Google 旗下的 Mandiant 、 SentinelOne 及 Sophos 10 月通報微軟有多個網路歹徒利用微軟簽發的第三方核心硬體驅動程式,關閉安全軟體以散佈勒索軟體。
這群駭客建了微軟帳號上傳惡意驅動程式到微軟的硬體開發商方案 (Windows Hardware Developer Program),微軟不察簽發了這些驅動程式後,這些惡意軟體就可以合法程式散佈,並且順利安裝到 Windows 電腦中。之後駭客就藉由這些驅動程式取得機器的管理員權限,執行各種進階行為,像是關閉防毒軟體及安全工具,並取得整台電腦及網路的管理權。
安全廠商通知,已經有用戶受害。微軟調查後發現,有多家開發商的 Partner Center 帳號涉入上傳惡意程式取得微軟簽發。攻擊活動僅限這些開發商帳號,此外未見其他濫用情形。
除了暫停這些帳號外,微軟也在本周的 Patch Tuesday 發佈安全更新,撤銷這些被濫用的驅動程式憑證。
SentinelOne 發現這波攻擊對象包括業務流程委外、電信業、娛樂、運輸、金融和加密貨幣業。另有一些受害者遭到 SIM 卡置換詐騙 (SIM Swapping) 攻擊。該公司另外偵測到,駭客利用惡意驅動程式散佈 Hive 勒索軟體。 Mandiant 和 Sophos 則偵測到 Cube 勒索軟體等利用 POORTRY 驅動程式散佈。
這問題突顯現今常見的 BYOVD(Bring Your Own Vulnerable Driver) 的問題,具有一定系統權限的攻擊者可下載合法卻有漏洞的 Windows 驅動程式,或是惡意但取得簽章的驅動程式。
這並非駭客第一次使用微軟簽發的惡意驅動程式發動攻擊,若論及其他程式,則還有惡意 UEFI Boot Loader 遭到微軟誤簽發,用於助長攻擊的案例。微軟本周表示,將採取更強力手段解決這個問題。
來源:The Register