Исследователи обнаружили 133 подписанных драйверов Windows, содержащих вредоносное ПО. Microsoft заблокировала эти вредоносные драйверы и добавила их в черный список Windows Driver.STL
В документе поддержки обновлений безопасности для Windows и других продуктов Microsoft от 11 июля 2023 года, содержатся рекомендации по поводу злонамеренного использования подписанных драйверов Microsoft.
В феврале 2023 года исследователи безопасности из Sophos, Trend Micro и Cisco сообщили Microsoft о вредоносном ПО в подписанных драйверах. Исследователи обнаружили, что «драйверы, сертифицированные программой разработчиков аппаратного обеспечения Windows, использовались в злонамеренных действия после успешной эксплуатации».
Исследователи идентифицировали 133 различных драйвера, большинство из которых были сертифицированы различными аккаунтами разработчиков, и сообщили свои результаты Microsoft. Некоторые подписанные драйверы были выпущены до апреля 2021 года.
Теперь Microsoft блокирует вредоносные драйверы и закрывает соответствующие учетные записи разработчиков. Драйверы добавлены в черный список Windows Driver.STL, что предотвращает их загрузку на устройствах Windows. Этот список отзыва драйверов поставляется с Windows и регулярно обновляется через Центр обновления Windows. Согласно Microsoft, этот список не является частью Windows и не может быть отключен, удален или изменен.
Администраторам Windows следует убедиться, что в подконтрольных системах установлены последние обновления Windows, а также что сторонние антивирусы обновлены. Администраторы должны выполнить автономные проверки на своих устройствах, чтобы обнаружить вредоносные драйверы, установленные до 2 марта 2023 года. Компания Sophos опубликовала хэши вредоносных драйверов в репозитории GitHub.
Другие сервисы Microsoft, включая Microsoft 365, Azure или Xbox, не подвержены данной проблеме.
В Windows 10, версия 1607, Microsoft представила политику которая требовала наличие действительной цифровой подписи для драйверов ядра. Системы Windows с включенной функцией «Безопасная загрузка» (Secure Boot) отказываются загружать неподписанные драйверы.
Sophos отмечает, что несколько цифровых сертификатов, судя по названию компаний, связаны с Китаем.
Эксперты Sophos обнаружили два основных типа драйверов. Некоторые относятся к категории «убийца антивирусных программ» (Endpoint protection killer), и они схожи с вредоносными подписанными драйверами, обнаруженными в 2022 году. Другие обладают возможностями руткита и предназначены для бесшумного запуска в фоновом режиме.
Установка этих драйверов возможна только с повышенными правами администратора. Драйверы-руткиты обладают возможностью мониторинга сети с использованием платформы фильтрации Windows. Это позволяет злоумышленнику отслеживать входящий и исходящий сетевой трафик.
Sophos отмечает, что, как минимум, некоторые руткиты принадлежат известным семействам руткитов Windows. Многие из них включают функциональность командного сервера, что предоставляет злоумышленнику еще больше возможностей для управления зараженными устройствами.
Все обнаруженные вредоносные драйверы были аннулированы и отозваны Microsoft с 11 июля 2023 года. Модуль защиты Microsoft Defender версии 1.391.3822.0 и новее успешно обнаруживает вредоносные драйверы.
Источник новости: www.playground.ru