Výzkumníci ze společnosti Cisco objevili novou chybu v zásadách systému Microsoft Windows, která umožňuje útočníkovi podepsat škodlivé ovladače s přístupem do jádra. Informoval o tom server Ars Technica a skupina Cisco Talos Intelligence.
Ovladače, které běží přímo v jádře (anglicky kernelu), pracují na nejvyšší úrovni oprávnění systému Windows (Ring 0). To umožňuje úplný přístup k cílovému počítači s nezjistitelnou exfiltrací dat a možnost ukončit téměř jakýkoli proces. I když jsou na napadeném zařízení aktivní bezpečnostní nástroje, ovladač v režimu jádra může zasahovat do jejich činnosti, vypínat jejich pokročilé ochranné funkce nebo provádět cílené úpravy konfigurace, aby se vyhnul detekci.
Aby bylo možné takový ovladač vůbec nainstalovat, musí být podepsaný certifikátem přímo od společnosti Microsoft. Aby ovladač prošel validačním procesem a obdržel elektronický podpis, musí „výrobce dodržet doporučené postupy při programování, disponovat certifikátem pro podpis kódu vystaveným důvěryhodnou certifikační autoritou a získat potřebnou úroveň vývojářského partnerství s Microsoftem“, jak uvádí společnost ESET ve svém Digital Security Guide.
Hackers exploit gaping Windows loophole to give their malware kernel accesshttps://t.co/fYthQSfuuO
— Ars Technica (@arstechnica) July 11, 2023
Tento proces ale dokázala obejít skupina hackerů, která využila několik open source nástrojů. „Hackeři využívají několik nástrojů s otevřeným zdrojovým kódem, které mění datum podpisu ovladačů v režimu jádra, aby načetli škodlivé a neověřené ovladače podepsané prošlými certifikáty,“ uvedla skupina Cisco Talos. „Jedná se o velkou hrozbu, protože přístup k jádru poskytuje úplný přístup k systému, a tedy i jeho úplné ohrožení.“
Zranitelnost je způsobená výjimkou v zásadách systému Windows
Stalo se tak díky výjimce vyčleněné společností Microsoft za účelem zachování kompatibility. Ta povoluje ovladače, pokud byly podepsány certifikátem koncové entity vydaným před 29. červencem 2015.
Jeden s používaných nástrojů, HackSignTool, vyžaduje přítomnost certifikátu „JemmyLoveJenny EV Root CA“ pro podepisování souborů ovladačů se zpětným časovým razítkem. Ten je k dispozici na webových stránkách autora nástroje. Použití tohoto certifikátu však zanechává ve zfalšovaném podpisu artefakty, které umožňují identifikovat ovladače podepsané tímto nástrojem.
Tento nástroj využil například ovladač „RedDriver“. Jedná se o malware, který zachycuje provoz prohlížeče a zaměřuje se na Chrome, Edge a Firefox a také na rozsáhlý seznam prohlížečů populárních v Číně. FuckCertVerify je další program, který se používá k úpravě datumu podpisů ovladačů. Zpřístupněn byl poprvé na GitHubu v prosinci 2018 jako nástroj pro podvádění ve hrách.
Společnost Microsoft nyní zfalšované certifikáty odstranila a pozastavila vývojářské účty zneužívající tuto chybu. Samotnou zranitelnost ale zatím neopravila.