A Microsoft bloqueou os certificados de assinatura de código predominantemente usados por hackers e desenvolvedores chineses para assinar e carregar drivers maliciosos do modo kernel em sistemas violados, explorando uma brecha na política do Windows.
Drivers do modo kernel operam no mais alto nível de privilégio no Windows (Ring 0), permitindo acesso completo à máquina alvo para persistência furtiva, exfiltração de dados indetectável e a capacidade de encerrar quase qualquer processo.
Mesmo se as ferramentas de segurança estiverem ativas no dispositivo comprometido, um driver de modo kernel pode interferir em sua operação, desligar suas capacidades de proteção avançada, ou realizar modificações de configuração direcionadas para evasão de detecção.
Com o Windows Vista, a Microsoft introduziu mudanças de política restringindo como os drivers do modo kernel do Windows poderiam ser carregados no sistema operacional, exigindo que os desenvolvedores submetessem seus drivers para revisão e os assinassem através do portal de desenvolvimento da Microsoft.
No entanto, para prevenir problemas com aplicações mais antigas, a Microsoft introduziu as seguintes exceções que permitiam que drivers de modo kernel mais antigos continuassem a ser carregados.
Um novo relatório da Cisco Talos explica que atores de ameaças chinesas estão explorando a terceira política usando duas ferramentas de código aberto, 'HookSignTool' e 'FuckCertVerify', para alterar a data de assinatura de drivers maliciosos antes de 29 de julho de 2015.
Ao alterar a data de assinatura, os atores de ameaças podem usar certificados mais antigos, vazados, não revogados para assinar seus drivers e carregá-los no Windows para escalonamento de privilégios.
O HookSignTool é uma ferramenta cheia de recursos lançada em 2019 em um fórum de software cracking chinês, usando a API do Windows para gancho junto com uma ferramenta de assinatura de código legítimo para realizar a assinatura do driver malicioso.
A ferramenta usa a biblioteca Microsoft Detours para interceptar e monitorar chamadas Win32 API e uma implementação personalizada da função 'CertVerifyTimeValidity' chamada 'NewCertVerifyTimeValidity', que verifica tempos inválidos.
HackSignTool exige a presença do certificado "JemmyLoveJenny EV Root CA" para assinar arquivos de driver com um timestamp retroativo, que está disponível no site do autor da ferramenta.
No entanto, o uso deste certificado deixa vestígios na assinatura forjada, tornando possível identificar drivers assinados com HookSignTool.
Em um relatório separado também publicado hoje, o Cisco Talos detalha um exemplo real de um driver malicioso chamado 'RedDriver', assinado usando o HookSignTool.
RedDriver é um sequestrador de navegador que intercepta o tráfego do navegador, direcionando Chrome, Edge e Firefox, bem como uma extensa lista de navegadores populares na China.
FuckCertVerify é outra ferramenta que os atores de ameaças usam para modificar os horários de assinatura de drivers maliciosos do modo kernel, originalmente disponível no GitHub em dezembro de 2018 como uma ferramenta de trapaça de jogo.
"FuckCertVerifyTimeValidity funciona de maneira semelhante ao HookSignTool, pois usa o pacote Microsoft Detours para anexar à chamada API 'CertVerifyTimeValidity' e define o horário para uma data escolhida", explica o Cisco Talos.
"[Mas] ao contrário do HookSignTool, FuckCertVerifyTimeValidity não deixa vestígios no binário que assina, tornando muito difícil identificar quando esta ferramenta foi usada."
Ambas as ferramentas requerem um certificado de assinatura de código não revogado emitido antes de 29 de julho de 2015, quando a Microsoft introduziu a mudança de política, juntamente com a chave privada correspondente e a senha.
Os pesquisadores da Cisco encontraram mais de uma dúzia de certificados em repositórios do GitHub e fóruns em língua chinesa que podem ser usados por essas ferramentas, que são amplamente usadas para fissuras de jogos que podem contornar checagens de DRM e drivers de kernel maliciosos.
Em um aviso relacionado publicado hoje, a Microsoft diz que a Sophos e a Trend Micro também relataram esta atividade maliciosa.
Depois que isso foi divulgado de forma responsável, a Microsoft revogou os certificados associados e suspendeu as contas de desenvolvedor que abusavam dessa brecha na política do Windows.
"A Microsoft lançou atualizações de segurança do Windows (veja a tabela de atualizações de segurança) que desconfiam de drivers e certificados de assinatura de driver para os arquivos impactados e suspendeu as contas dos fornecedores parceiros", explica o aviso da Microsoft.
"Além disso, a Microsoft implementou detecções de bloqueio (Microsoft Defender 1.391.3822.0 e versões mais recentes) para ajudar a proteger os clientes de drivers assinados legitimamente que foram usados de forma maliciosa em atividades pós-exploração."
"Para obter mais informações sobre como a função de Integridade de Código do Windows protege os clientes da Microsoft de certificados revogados, veja: Aviso de adições à lista de revogação do Driver.STL do Windows."
O Cisco Talos informou ao BleepingComputer que a Microsoft não atribuiu um CVE a este abuso, já que a empresa não classifica isto como uma vulnerabilidade.
Em um relatório também divulgado hoje, a Sophos disse ter encontrado mais de uma centena de drivers de kernel maliciosos usados como 'killers de EDR' para encerrar o software de segurança normalmente protegidos de programas do modo usuário.
Como esses drivers fornecem privilégios de kernel, eles podem ser usados para encerrar qualquer software, incluindo processos de antivírus protegidos.
A Microsoft também revogou esses drivers como parte de sua atualização para a lista de revogação do Driver.STL do Windows.
Enquanto os certificados descobertos pela Cisco e Sophos já foram revogados, o risco está longe de ser eliminado, pois é provável que outros certificados estejam expostos ou roubados, permitindo que atores de ameaça continuem abusando dessa brecha na política do Windows.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...