Gli attori delle minacce, principalmente di lingua cinese, stanno sfruttando una falla nella politica di Windows per falsificare le firme sui driver a livello di kernel. Questo rappresenta una grande minaccia, poiché l’accesso al kernel fornisce un accesso completo a un sistema, e quindi una compromissione totale.
Lo sfruttamento della falla
Gli attori stanno sfruttando diversi strumenti open source che alterano la data di firma dei driver a livello di kernel per caricare driver dannosi e non verificati firmati con certificati scaduti. Questo è stato riportato da Cisco Talos in un rapporto esaustivo in due parti condiviso con The Hacker News.
In seguito alla divulgazione responsabile, Microsoft ha dichiarato di aver preso provvedimenti per bloccare tutti i certificati per mitigare la minaccia. Ha inoltre affermato che la sua indagine ha rilevato che “l’attività era limitata all’abuso di diversi account del programma per sviluppatori e che non è stata identificata alcuna compromissione dell’account Microsoft”.
Gli strumenti utilizzati
Gli strumenti utilizzati per sfruttare questa falla includono HookSignTool e FuckCertVerifyTimeValidity, che sono disponibili pubblicamente dal 2019 e 2018 rispettivamente. HookSignTool è un tool che altera la data di firma di un driver durante il processo di firma attraverso una combinazione di aggancio all’API di Windows e alterazione manuale della tabella di importazione di un legittimo tool di firma del codice.
Le implicazioni
Un driver firmato in questo modo non sarà impedito di essere caricato su un dispositivo Windows, permettendo così agli attori delle minacce di sfruttare la clausola di fuga per distribuire migliaia di driver dannosi firmati senza sottoporli a Microsoft per la verifica.
Mentre gli hacker continuano a sfruttare questa falla, sarà interessante vedere come Microsoft risponderà per proteggere i suoi utenti. Per ora, però, sembra che gli attori delle minacce abbiano trovato un modo per sfruttare una falla nella politica di Windows per causare danni significativi.