Microsoft wciąż podpisuje malware? Są kolejne dowody

Microsoft wciąż podpisuje malware? Są kolejne dowody01.08.2022 07:05
Microsoft wciąż podpisuje malware?
Źródło zdjęć: © Licencjodawca | Kamil Dudek

Pojawiają się kolejne przykłady złośliwego oprogramowania podpisanego kluczem cyfrowym Microsoftu. Przez "rygorystyczny" proces certyfikacji sterowników znów przechodzą elementy składowe rootkitów. To nie powinno być możliwe, a miało miejsce kilka razy.

Windows zawiera mechanizm uniemożliwiający ładowanie do systemu niepodpisanych sterowników trybu jądra. Uzasadnieniem takiego działania jest zapobieganie rootkitom: gdy sterownik pracuje z najwyższymi uprawnieniami, może stać się całkowicie niewidzialny dla antywirusów. Zmiana ta, wprowadzona w systemie Windows Vista, została przypieczętowana likwidacją pośrednich urzędów certyfikacji. Dziś sterowniki możliwe do załadowania w systemie może wydawać tylko Microsoft.

To ma sens

Takie podejście ma wiele zalet. Po pierwsze, sterowniki mogą od razu lądować z Windows Update i tak długo, jak nie chodzi o kartę sieciową, system jest w stanie pobrać je samodzielnie, bez konieczności polowania na sterowniki na stronie producenta. Po drugie, zapewnia ochronę przed firmami niegodnymi zaufania. Jeżeli jakiś podrzędny producent kiepsko pilnuje swojego klucza prywatnego, zachodziło ryzyko wycieku. Zanim zostałoby wydane CRL dla nadużywanego certyfikatu, złośliwe oprogramowanie miałoby możliwość ładowania rootkitów.

Windows 10: Producenci sprzętu stracą możliwość podpisywania sterowników

Gdy certyfikatów pilnuje wyłącznie Microsoft, ich wyciek byłby równoznaczny z "położeniem" całego łańcucha zaufania Windows Update. Konsekwencje takiego zdarzenia są nie do przeszacowania, a świadomość tego faktu wydaje się być bardzo niska. Dlatego Microsoft pilnuje swoich kluczy całkiem nieźle. Sterownik musi zostać zgłoszony do programu Windows Hardware Compatibility Program (WHCP/WHQL). Gdy osiągnie on certyfikację, staje się możliwy do załadowania w Windows.

Choć dzisiejsza dokumentacja WHCP nie wspomina o przeprowadzaniu skanów antywirusowych, Microsoft chwali się szerokim wykorzystaniem różnych form ochrony dostarczanych przez narzędzia Microsoft Defender. Trudno podejrzewać, że zgłaszane do certyfikacji sterowniki nie są skanowane antywirusowo, ale oprogramowanie AV jest szalenie nieskuteczne jako sposób ochrony przez nowymi zagrożeniami.

Kiepska kontrola

Problem leży w procesie. Firmy otrzymują konta w programie WHCP i używają ich do zgłaszania sterowników. Zachodzi domniemanie, że firmy te nie są podstawionymi frontami dla działań cyberprzestępców i zgłaszane przez nich oprogramowanie dotyczy prawdziwego sprzętu. Okazuje się jednak, że weryfikacja posiadaczy kont jest bardzo pobieżna i czasem niewystarczająca.

Pierwszy raz na ten temat pisano nieco ponad rok temu, gdy Karsten Hahn z G-Data zwrócił uwagę na sterownik "Netfilter" podpisany przez Microsoft, a w praktyce należący do trojana Wacapew. Microsoft przyznał, że podpisał złośliwy sterownik i zawiesił konto zgłaszającego do WHQL, ale w ogłoszeniu nie powiedziano nic o słabościach systemu certyfikacji. Zamiast tego, w rozbudowany sposób opisano działanie złośliwego sterownika oraz ochronę świadczoną przez Defendera.

Tymczasem minął rok, a Karsten Hahn zaprezentował kolejny przykład trojana podpisanego przez Microsoft Windows Hardware Compatibility Publisher, urząd zaufany Microsoft Root Certificate Authority. Podpis wystawiono we wrześniu. Zjawisko nie jest nowe, ale jest o nim bardzo cicho. Microsoft nie jest też skory do dyskusji na temat WHCP pod kątem słabości procesu. A konsekwencje nonszalancji w podpisywaniu są w niektórych sytuacjach nieodróżnialne od efektów kradzieży klucza.

Inne zagrożenia

Podpisany przez Microsoft malware był rzadkością. Dotychczas malware obchodził wymaganie podpisów na inne sposoby. Należały do nich:

  • wykorzystanie skradzionego podpisu firmy trzeciej (dziś już niemożliwe),
  • wykorzystanie podatności w prawdziwym, "niewinnym" sterowniku celem skłonienia go do wykonania złośliwego kodu,
  • ukrywanie payloadu w pliku sterownika bez unieważniania jego podpisu (póki co załatane).

Degradacja zaufania do WHCP to zły znak i zwiastun nadchodzących problemów z zaufaniem do aplikacji Microsoft Store i aktualizacji Windows Update. Microsoft musi zadbać o poprawę jakości procesu podpisywania sterowników.

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na