Káros programok aláírására használják az NVIDIA kiszivárgott kódaláíró tanúsítványait

 

Az NVIDIA nemrég megerősítette, hogy kibertámadás érte a vállalatot, amely során 1 TB-nyi érzékeny adathoz – köztük alkalmazotti hitelesítő adatokhoz is – hozzá fért a Lapsus$ hacker kollektíva, akik miután az NVIDIA elutasította a közös tárgyalásokat, elkezdték kiszivárogtatni az adatokat.

A mostani adatszivárgás két ellopott kódaláíró tanúsítványt tartalmaz, amelyeket NVIDIA fejlesztők használnak az illesztőprogramok és a futtatható fájlok aláírására. Ezek a tanúsítványok lehetővé teszik a Windows és a felhasználók számára, hogy ellenőrizhessék a fájlok tulajdonosait, illetve azt, hogy manipulálták-e a fájlokat. A Windows például meg is követeli a kernel szintű illesztőprogramok tanúsítványokkal történő aláírását, mielőtt azokat betöltené az operációs rendszerbe.

Ezen tanúsítványok kiszivárogtatásával azonban a rosszindulatú szereplők is képesek aláírni saját káros programjaikat. A VirusTotal-ra feltöltött minták szerint az ellopott tanúsítványokkal több kártevőt és támadást elősegítő eszközt (hack tools) aláírtak már, köztük Cobalt Strike beacon-öket, Mimikatz-t, hátsó ajtókat (backdoors) és távoli elérésű trójai programokat (RATs).

Annak ellenére, hogy mindkét szóban forgó NVIDIA tanúsítvány lejárt, a Windows továbbra is engedélyezi a tanúsítványokkal aláírt illesztőprogramok betöltését az operációs rendszerbe, ami azt jelenti, hogy a kiszivárgott tanúsítványokkal aláírt káros programok is – mivel azok valódi NVIDIA aláírással rendelkeznek – betöltésre kerülnek a Windows rendszerekbe.  David Weston, a Microsoft biztonságért felelős igazgatója Twitter bejegyzésében azt javasolja a rendszergazdáknak, hogy állítsák át a Windows Defender Alkalmazásvezérlő házirendjét és szabályozzák, hogy milyen NVIDIA illesztőprogramokat lehessen csak betölteni. Amennyiben a két tanúsítvány felkerülne a Microsoft visszavonási listájára, azzal megakadályozható lenne, hogy az aláírt káros programok betöltésre kerüljenek a Windows rendszerekbe, viszont ezáltal a legitim NVIDIA illesztőprogramok betöltése is ellehetetlenülne, így nem várható, hogy mindez a közeljövőben megvalósul.

(bleepingcomputer.com)