Bilgisayar güvenlik şirketleri Mandiant, SentinelOne ve Sophos, Microsoft’u bir dizi bilgisayar saldırısında Redmond devi tarafından onaylanan kötü amaçlı sürücülerin kullanımına karşı uyardı. Özellikle endişe verici olaylar, çünkü birçok güvenlik hizmeti Microsoft tarafından onaylanan her şeye dolaylı olarak güvenir.
Uyarı 19 Ekim’de verildi
Araştırmanın ardından, 13 Aralık’ta açıklanan bu işletim modu, programın birkaç geliştirici hesabının kötü amaçlı kullanımıyla ilişkilendirilecek. Windows Donanım Geliştiricisi.
Microsoft19 Ekim’de alarma geçen , ilgili pilotların sertifikalarını iptal etti ve bu şüpheli hesapları da askıya aldı.
Şirkete göre, bu hileli olarak onaylanmış kötü amaçlı sürücüler, hedeflenen sistemlere girdikten sonra, örneğin Cuba veya Hive gibi fidye yazılımlarının dağıtımını kolaylaştırmak için kullanıldı. açıklandığı gibi Nöbetçi Birişletim sistemindeki en yüksek ayrıcalıklara sahip kötü amaçlı sürücüler, gerçekten de anti-virüs ve algılama sistemlerini atlatmayı mümkün kıldı.
zorunlu imza
tarafından bildirilen bir örnekte Sofos, kötü niyetli sürücü, daha önce siber suçlular tarafından Lapsus$’dan çalınan bir Nvidia sertifikası aracılığıyla imzalandı. Benzer şekilde, “itibarı şüpheli” bir veya daha fazla Çinli şirket tarafından verilen sertifikalar aracılığıyla başka bir gölgeli pilot imzalanacaktı.
Microsoft, Windows 10 ve 11’in yanı sıra Windows Server 2022 için sürücü imzalamayı zorunlu kılar. Yazılım yayımcısının kimliğini onaylamak ve dolayısıyla gönderilen sürücülerin bütünlüğünü doğrulamak için uygulanan bir süreç.
Bu nedenle siber suçlular, muhtemelen geliştiricilerin sürücülerini göndermelerine izin veren sertifikaları ele geçirerek bu süreci rayından çıkarmayı başardılar. SentinelOne için bu sahte sürücü imzalama sürecinin başlı başına bir siber suç hizmeti olması da mümkündür.