imágenes falsas
Microsoft ha sido sorprendido una vez más permitiendo que sus certificados digitales legítimos firmen malware en la naturaleza, un lapso que permite que los archivos maliciosos pasen estrictos controles de seguridad diseñados para evitar que se ejecuten en el sistema operativo Windows.
Múltiples actores de amenazas estuvieron involucrados en el uso indebido del imprimátur digital de Microsoft, que utilizaron para dar a Windows y aplicaciones de seguridad de punto final la impresión de que los controladores maliciosos del sistema habían sido certificados como seguros por Microsoft. Eso ha llevado a la especulación de que puede haber una o más organizaciones maliciosas que venden la firma de controladores maliciosos como un servicio. En total, los investigadores han identificado al menos nueve entidades de desarrolladores independientes que abusaron de los certificados en los últimos meses.
El abuso fue descubierto de forma independiente por cuatro empresas de seguridad de terceros, que luego lo informaron de forma privada a Microsoft. El martes, durante el Patch Tuesday mensual de Microsoft, la compañía confirmó los hallazgos y dijo que determinó que el abuso provino de varias cuentas de desarrolladores y que no se detectó ninguna brecha en la red.
El fabricante de software ahora suspendió las cuentas de los desarrolladores e implementó detecciones de bloqueo para evitar que Windows confíe en los certificados utilizados para firmar los certificados comprometidos. “Microsoft recomienda que todos los clientes instalen las últimas actualizaciones de Windows y se aseguren de que sus productos antivirus y de detección de puntos finales estén actualizados con las últimas firmas y habilitados para prevenir estos ataques”, escribieron los funcionarios de la compañía.
Cartilla de firma de código
Debido a que la mayoría de los controladores tienen acceso directo al kernel, el núcleo de Windows donde residen las partes más sensibles del sistema operativo, Microsoft requiere que estén firmados digitalmente mediante un proceso interno de la empresa conocido como atestación. Sin esta firma digital, Windows no cargará el controlador. La atestación también se ha convertido en un medio de facto para que los productos de seguridad de terceros decidan si un controlador es confiable. Microsoft tiene un proceso de validación de controladores independiente conocido como Programa de compatibilidad de hardware de Microsoft Windows, en el que los controladores ejecutan varias pruebas adicionales para garantizar la compatibilidad.
Para que Microsoft firme los controladores, un desarrollador de hardware primero debe obtener un certificado de validación extendido, lo que requiere que el desarrollador demuestre su identidad ante una autoridad de certificación confiable de Windows y proporcione garantías de seguridad adicionales. Luego, el desarrollador adjunta el certificado EV a su cuenta del Programa para desarrolladores de hardware de Windows. Luego, los desarrolladores envían su paquete de controladores a Microsoft para que lo prueben.
Investigadores de SentinelOne, una de las tres firmas de seguridad que descubrieron el uso indebido del certificado y lo informaron en privado a Microsoft, explicado:
El problema principal con este proceso es que la mayoría de las soluciones de seguridad confían implícitamente en cualquier cosa firmada solo por Microsoft, especialmente los controladores en modo kernel. A partir de Windows 10, Microsoft comenzó a exigir que todos los controladores en modo kernel se firmaran mediante el portal del panel del Centro de desarrolladores de hardware de Windows. Cualquier cosa que no esté firmada a través de este proceso no se puede cargar en las versiones modernas de Windows. Si bien la intención de este nuevo requisito era tener un control y una visibilidad más estrictos sobre los controladores que operan en el nivel del kernel, los actores de amenazas se dieron cuenta de que si podían jugar con el proceso, tendrían rienda suelta para hacer lo que quisieran. Sin embargo, el truco es desarrollar un controlador que no parezca ser malicioso para los controles de seguridad implementados por Microsoft durante el proceso de revisión.
Mandiant, otra firma de seguridad para descubrir el abuso, dijo que “varias familias de malware distintas, asociadas con distintos actores de amenazas, se han firmado a través del Programa de compatibilidad de hardware de Windows”. Los investigadores de la empresa identificaron al menos nueve nombres de organizaciones que abusan del programa. Además de obtener acceso de alguna manera a los certificados de Microsoft, los actores de amenazas también lograron obtener certificados EV de autoridades de certificación de terceros.