Microsoft è stata nuovamente sorpresa a permettere ai suoi certificati digitali legittimi di firmare malware in libertà, un errore che consente ai file dannosi di superare i rigidi controlli di sicurezza progettati per impedirne l’esecuzione sul sistema operativo Windows. Nell’uso improprio dell’imprimatur digitale di Microsoft sono stati coinvolti più attori delle minacce, che hanno utilizzato per dare alle applicazioni di sicurezza di Windows e degli endpoint l’impressione che i driver di sistema dannosi fossero stati certificati come sicuri da Microsoft. Questo ha portato a ipotizzare la presenza di una o più organizzazioni malintenzionate che vendono come servizio la firma di driver dannosi. In totale, i ricercatori hanno identificato almeno nove distinte entità di sviluppatori che hanno abusato dei certificati negli ultimi mesi.

L’abuso è stato scoperto in modo indipendente da quattro società di sicurezza di terze parti, che lo hanno poi segnalato privatamente a Microsoft. Martedì, durante il Patch Tuesday mensile di Microsoft, l’azienda ha confermato le scoperte e ha dichiarato di aver stabilito che l’abuso proveniva da diversi account di sviluppatori e che non è stata rilevata alcuna violazione della rete. Il produttore di software ha ora sospeso gli account degli sviluppatori e ha implementato il blocco dei rilevamenti per impedire a Windows di fidarsi dei certificati utilizzati per firmare i certificati compromessi. “Microsoft raccomanda a tutti i clienti di installare gli ultimi aggiornamenti di Windows e di assicurarsi che i prodotti antivirus e di rilevamento degli endpoint siano aggiornati con le ultime firme e siano abilitati a prevenire questi attacchi”, hanno scritto i funzionari della società.

Primer sulla firma del codice

Poiché la maggior parte dei driver ha accesso diretto al kernel, il cuore di Windows dove risiedono le parti più sensibili del sistema operativo, Microsoft richiede che siano firmati digitalmente mediante un processo interno all’azienda noto come attestazione. Senza questa firma digitale, Windows non carica il driver. L’attestazione è diventata anche un mezzo de facto per i prodotti di sicurezza di terze parti per decidere se un driver è affidabile. Microsoft ha un processo di convalida dei driver separato, noto come Microsoft Windows Hardware Compatibility Program, in cui i driver vengono sottoposti a vari test aggiuntivi per garantire la compatibilità. Per ottenere la firma dei driver da parte di Microsoft, lo sviluppatore di hardware deve innanzitutto ottenere un certificato di convalida esteso, che richiede allo sviluppatore di dimostrare la propria identità a un’autorità di certificazione fidata di Windows e di fornire ulteriori garanzie di sicurezza. Lo sviluppatore allega quindi il certificato EV al proprio account Windows Hardware Developer Program. Gli sviluppatori inviano quindi il loro pacchetto di driver a Microsoft per il test. I ricercatori di SentinelOne, una delle tre società di sicurezza che hanno scoperto l’abuso del certificato e lo hanno segnalato privatamente a Microsoft, hanno spiegato:

Il problema principale di questo processo è che la maggior parte delle soluzioni di sicurezza si fida implicitamente di tutto ciò che è firmato solo da Microsoft, in particolare dei driver in modalità kernel. A partire da Windows 10, Microsoft ha iniziato a richiedere che tutti i driver in modalità kernel siano firmati utilizzando il portale Windows Hardware Developer Center Dashboard. Tutto ciò che non è stato firmato attraverso questo processo non può essere caricato nelle versioni moderne di Windows. Sebbene l’intento di questo nuovo requisito fosse quello di avere un controllo e una visibilità più severi sui driver che operano a livello di kernel, gli attori delle minacce si sono resi conto che se riuscissero a eludere il processo avrebbero campo libero per fare ciò che vogliono. Il trucco, tuttavia, consiste nello sviluppare un driver che non risulti dannoso ai controlli di sicurezza implementati da Microsoft durante il processo di revisione.

Mandiant, un’altra società di sicurezza che ha scoperto l’abuso, ha dichiarato che “diverse famiglie di malware distinte, associate a diversi attori delle minacce, sono state firmate attraverso il Windows Hardware Compatibility Program”. I ricercatori della società hanno identificato almeno nove nomi di organizzazioni che abusano del programma. Oltre a ottenere in qualche modo l’accesso ai certificati Microsoft, gli attori delle minacce sono riusciti anche a ottenere certificati EV da autorità di certificazione di terze parti.

Scrivono i ricercatori di Mandiant:

Mandiant ha continuamente osservato gli attori delle minacce utilizzare certificati di firma del codice compromessi, rubati e acquistati illecitamente per firmare il malware, conferendo legittimità e sovvertendo i controlli di sicurezza come i criteri di abilitazione delle applicazioni. I driver con firma di attestazione sfruttano la fiducia concessa dalla CA e la trasferiscono a un file la cui firma Authenticode proviene da Microsoft stessa. Valutiamo con elevata affidabilità che gli attori delle minacce hanno sovvertito questo processo utilizzando certificati di firma del codice EV ottenuti illecitamente per inviare pacchetti di driver attraverso il processo di firma di attestazione e, di fatto, far firmare il proprio malware direttamente da Microsoft.

I certificati EV provenivano principalmente dalle CA Digicert e Globalsign ed erano stati emessi a clienti cinesi. Secondo Mandiant, tutti i certificati EV emessi da Digicert, tranne uno, sono rimasti validi fino a martedì. I driver firmati con i certificati legittimi di Microsoft sono stati utilizzati in attività successive allo sfruttamento, ovvero dopo che gli attori delle minacce avevano già ottenuto i diritti amministrativi sui computer presi di mira. Gli attori delle minacce hanno utilizzato questi driver per terminare processi o servizi utilizzati da vari fornitori di prodotti per la sicurezza degli endpoint. La società di sicurezza Sophos, che ha scoperto l’abuso, ha dichiarato di aver recuperato un elenco associato ai driver firmati. Tra questi vi erano “186 nomi di file di programmi utilizzati da un gran numero di pacchetti software per la sicurezza degli endpoint e per l’EDR, presumibilmente un elenco di processi da colpire”, hanno dichiarato i ricercatori dell’azienda. Sophos ha aggiunto che il driver dannoso analizzato non era in grado di terminare i processi utilizzati dal suo prodotto endpoint.