Se ha observado que una laguna en la política de Microsoft Windows es explotada principalmente por actores de amenazas nativos de habla china para falsificar firmas en controladores en modo kernel.
«Los actores están aprovechando múltiples herramientas de código abierto que alteran la fecha de firma de los controladores en modo kernel para cargar controladores maliciosos y no verificados firmados con certificados vencidos», dijo Cisco Talos en un informe exhaustivo de dos partes compartido con The Hacker News. «Esta es una gran amenaza, ya que el acceso al kernel proporciona acceso completo a un sistema y, por lo tanto, un compromiso total».
Luego de la divulgación responsable, Microsoft dijo que tomó medidas para bloquear todos los certificados para mitigar la amenaza. Afirmó además que su investigación encontró que «la actividad se limitó al abuso de varias cuentas de programas de desarrolladores y que no se ha identificado ningún compromiso de cuenta de Microsoft».
El gigante tecnológico, además de suspender las cuentas del programa de desarrolladores involucrados en el incidente, enfatizó que los actores de la amenaza ya habían obtenido privilegios administrativos en los sistemas comprometidos antes del uso de los controladores.
Vale la pena señalar que el fabricante de Windows implementó protecciones de bloqueo similares en diciembre de 2022 para evitar que los atacantes de ransomware usen controladores firmados por Microsoft para la actividad posterior a la explotación.
El cumplimiento de la firma del controlador , que requiere que los controladores en modo kernel estén firmados digitalmente con un certificado del Portal de desarrollo de Microsoft, es una línea de defensa crucial contra los controladores maliciosos, que podrían convertirse en armas para evadir las soluciones de seguridad, alterar los procesos del sistema y mantener la persistencia. . El cambio de política se introdujo con el debut de Windows Vista.
La nueva debilidad descubierta por Cisco Talos hace posible falsificar firmas en controladores en modo kernel, lo que permite omitir las políticas de certificados de Windows.
Esto es posible gracias a una excepción creada por Microsoft para mantener la compatibilidad, que permite controladores con firma cruzada si la computadora se actualizó de una versión anterior de Windows a Windows 10, versión 1607; El arranque seguro está desactivado en el BIOS; y los controladores fueron «firmados con un certificado de entidad final emitido antes del 29 de julio de 2015 que se vincula a una [autoridad de certificación] con firma cruzada».
«La tercera excepción crea una laguna que permite que un controlador recién compilado se firme con certificados no revocados emitidos antes o vencidos antes del 29 de julio de 2015, siempre que el certificado se encadene a una autoridad de certificación con firma cruzada admitida», la empresa de seguridad cibernética. dicho.
Como resultado, no se evitará que un controlador firmado de esta manera se cargue en un dispositivo Windows, lo que permitirá a los actores de amenazas aprovechar la cláusula de escape para implementar miles de controladores firmados maliciosos sin enviarlos a Microsoft para su verificación.
Estos controladores no autorizados se implementan mediante software de falsificación de marcas de tiempo de firma, como HookSignTool y FuckCertVerifyTimeValidity , que han estado disponibles públicamente desde 2019 y 2018, respectivamente.
Se puede acceder a HookSignTool a través de GitHub desde el 7 de enero de 2020, mientras que FuckCertVerifyTimeValidity se comprometió por primera vez con el servicio de alojamiento de código el 14 de diciembre de 2018.
«HookSignTool es una herramienta de falsificación de firmas de controladores que altera la fecha de firma de un controlador durante el proceso de firma a través de una combinación de vinculación a la API de Windows y alteración manual de la tabla de importación de una herramienta de firma de código legítima», explicó Cisco Talos.
En concreto, se trata de enganchar a la función CertVerifyTimeValidity , que verifica la validez temporal de un certificado, para cambiar la marca de tiempo de la firma durante la ejecución.
«Este pequeño proyecto evita que signtool verifique [sic] la validez del tiempo del certificado y le permite firmar su contenedor con un certificado desactualizado sin cambiar la hora del sistema manualmente», se lee en la página de GitHub para FuckCertVerifyTimeValidity.
«Instale hook en crypt32!CertVerifyTimeValidity y haga que siempre devuelva 0 y haga que kernel32!GetLocalTime devuelva lo que desee, ya que puede agregar «-fuckyear 2011″ a la línea de comando de signtool para firmar un certificado del año 2011».
Dicho esto, lograr una falsificación exitosa requiere un certificado de firma de código no revocado emitido antes del 29 de julio de 2015, junto con la clave privada y la frase de contraseña del certificado .
Cisco Talos dijo que descubrió más de una docena de certificados de firma de código con claves y contraseñas contenidas en un archivo PFX alojado en GitHub en un repositorio bifurcado de FuckCertVerifyTimeValidity. No está claro de inmediato cómo se obtuvieron estos certificados.
Además, se ha observado que HookSignTool se ha utilizado para volver a firmar controladores descifrados con el fin de eludir las verificaciones de integridad de gestión de derechos digitales (DRM), con un actor llamado «Juno_Jr» lanzando una versión descifrada de PrimoCache, una solución legítima de almacenamiento en caché de software. , en un foro de descifrado de software chino el 9 de noviembre de 2022.
«En la versión descifrada […], el controlador parcheado se volvió a firmar con un certificado emitido originalmente a ‘Shenzhen Luyoudashi Technology Co., Ltd.’, que se encuentra en el archivo PFX en GitHub», dijeron los investigadores de Talos. «Esta capacidad de renunciar a un controlador crackeado elimina un obstáculo importante al intentar eludir las comprobaciones de DRM en un controlador firmado».
Eso no es todo. HookSignTool también está siendo utilizado por un controlador previamente no documentado identificado como RedDriver para falsificar su marca de tiempo de firma. Activo desde al menos 2021, funciona como un secuestrador de navegador basado en controladores que aprovecha la plataforma de filtrado de Windows ( WFP ) para interceptar el tráfico del navegador y redirigirlo a localhost (127.0.0.1).
El navegador de destino se elige al azar de una lista codificada que contiene los nombres de proceso de muchos navegadores populares en chino como Liebao, QQ Browser, Sogou y UC Browser, así como Google Chrome, Microsoft Edge y Mozilla Firefox.
«Inicialmente encontré RedDriver mientras investigaba la falsificación de marcas de tiempo de certificados en controladores de Windows», dijo a The Hacker News Chris Neal, investigador de divulgación de Cisco Talos. «Fue una de las primeras muestras con las que me encontré que inmediatamente sospeché. Lo que me llamó la atención fue la lista de navegadores web almacenados dentro del archivo RedDriver».
El objetivo final de esta redirección del tráfico del navegador no está claro, aunque no hace falta decir que se podría abusar de dicha capacidad para manipular el tráfico del navegador a nivel de paquete.
Las cadenas de infección de RedDriver comienzan con la ejecución de un binario denominado «DnfClientShell32.exe», que, a su vez, inicia comunicaciones cifradas con un servidor de comando y control (C2) para descargar el controlador malicioso.
«No observamos la entrega del archivo inicial, pero es muy probable que el archivo se empaquetara para hacerse pasar por un archivo de juego y estuviera alojado en un enlace de descarga malicioso», dijo Neal. «La víctima probablemente pensó que estaba descargando un archivo de una fuente legítima y ejecutó el ejecutable. ‘DNFClient’ es el nombre de un archivo que pertenece a ‘Dungeon Fighter Online’, que es un juego extremadamente popular en China y comúnmente conocido como ‘DNF .'»
«RedDriver probablemente fue desarrollado por actores de amenazas altamente calificados, ya que la curva de aprendizaje para desarrollar controladores maliciosos es empinada», dijo Cisco Talos. «Si bien la amenaza parece apuntar a los hablantes nativos de chino, es probable que los autores también sean hablantes de chino».
«Los autores también demostraron familiaridad o experiencia con los ciclos de vida del desarrollo de software, otro conjunto de habilidades que requiere experiencia previa en desarrollo».
El desarrollo se produce cuando Sophos dijo que encontró más de 100 controladores de kernel maliciosos que habían sido firmados por Microsoft y otras compañías, algunos que datan de abril, y que se usaban para sabotear el software de seguridad para que no se ejecutara según lo diseñado o funcionar como un rootkit sigiloso capaz de monitorear el tráfico de la red usando WFP.
«Parece que el creador del controlador malicioso creó una versión ‘principal’ del controlador, luego ejecutó la versión principal a través de una o más utilidades de empaquetado una o más veces, creando en algunos casos docenas de variantes ‘secundarias’, todas las cuales los creadores podrían enviar a Microsoft para su firma», dijo Andrew Brandt, investigador de Sophos .
«Hay muchos beneficios para que los actores de amenazas implementen controladores en su cadena de infección, sin embargo, son mucho más difíciles de desarrollar que el malware en modo de usuario», dijo Neal. «Los controladores son más difíciles de detectar para EDR y son difíciles de analizar, especialmente si se emplea alguna ofuscación».
(La historia se actualizó después de la publicación para incluir información adicional de Sophos sobre el descubrimiento de controladores maliciosos).
Fuente y redacción: thehackernews.com
