Группа хакеров, которая недавно взломала системы, принадлежащие производителю графических чипов Nvidia, выпустила два старых сертификата подписи кода компании. Исследователи предупреждают, что драйверы могут использоваться для подписи вредоносных программ на уровне ядра и их загрузки в системы, в которых есть проверка подписи драйверов.
Сертификаты были частью большого кеша файлов, который, по утверждениям хакеров, составляет 1 ТБ и включает в себя исходный код и документацию по API для драйверов графического процессора. Nvidia подтвердила, что это была цель вторжения и что хакеры забрали «пароли сотрудников и некоторую конфиденциальную информацию Nvidia», но не подтвердила размер утечки данных.
Что случилось с утечкой данных Nvidia?
24 февраля группа вымогателей, называющая себя LAPSUS$, публично заявила, что она имела административный доступ к нескольким системам Nvidia в течение примерно недели и сумела украсть 1 ТБ данных, включая схемы оборудования, исходный код драйвера, прошивку, документацию, частные инструменты и SDK, а также «все о Falcon» — аппаратная технология безопасности, встроенная в графические процессоры Nvidia, предназначенная для предотвращения неправильного программирования этих графических процессоров.
Хотя Nvidia не обнародовала подробностей о том, что было украдено, кроме подтверждения кибератаки, приведшей к утечке данных, LAPSUS$ опубликовала 20 ГБ данных из предполагаемого кеша в качестве доказательства. Группа также заявила, что у нее есть информация о Nvidia LHR (Lite Hash Fee), технологии, которую компания представила на своих графических процессорах RTX 30-й серии, чтобы позволить им определять, когда они используются для майнинга криптовалюты Ethereum, и снижать их производительность. Цель этой технологии заключалась в том, чтобы сделать высокопроизводительные графические процессоры Nvidia менее привлекательными для майнеров криптовалюты после того, как эти графические процессоры стали практически недоступны для обычных геймеров из-за постоянной нехватки запасов.
Чтобы доказать, что у них есть информация, LAPSUS$ даже выпустила инструмент, который, как утверждает группа, позволяет пользователям обходить ограничение LHR без перепрошивки прошивки графического процессора. Затем группа изменила свои требования и попросила компанию полностью открыть исходный код своих драйверов графического процессора во всех системах, включая Linux, где отсутствие драйвера Nvidia с открытым исходным кодом в течение многих лет вызывало споры в сообществе и рассматривается как одна из причины, по которым студии разработки игр не приняли Linux в качестве платформы.
Почему важны сертификаты для подписи кода?
Сертификаты для подписи кода — это сертификаты, которые связаны с сертификатами Microsoft, в том числе в Home windows. Запуск приложений, которые не подписаны, возможен в Home windows, но они вызывают более заметные предупреждения системы безопасности, чем запуск приложений, подписанных доверенным разработчиком.
Что еще более важно, по умолчанию Home windows не разрешает установку драйвера без цифровой подписи доверенного сертификата. Эта принудительная цифровая подпись для драйверов является важной функцией безопасности, поскольку, в отличие от обычных приложений пользовательского режима, драйверы запускаются с привилегиями ядра, поэтому они имеют доступ к наиболее привилегированным областям операционной системы и могут отключать продукты безопасности. До того, как эта функция безопасности была введена, руткиты (вредоносные программы корневого уровня) были обычным явлением в Home windows.
Цифровые подписи файлов также используются решениями для внесения в белый список приложений для ограничения того, какие приложения могут выполняться в системах, и в некоторой степени антивирусными программами, даже несмотря на то, что само по себе наличие цифровой подписи не должно служить единственным показателем того, является ли файл чистым. или злонамеренный. Сертификаты подписи кода и раньше были украдены у разработчиков, и хакеры могут даже покупать их по разным каналам.
Проблема заключается в том, что отзыв или истечение срока действия сертификатов не проверяются и не применяются всеми механизмами безопасности Home windows, включая тот, который проверяет, подписаны ли загруженные драйверы, как объяснялось в этом выступлении DEF CON о руткитах Home windows, проведенном исследователем безопасности Zoom Биллом Демиркапи. В Home windows 10 сборки 1607 и выше было введено ограничение с включенной безопасной загрузкой, когда драйверы должны быть подписаны сертификатами EV (расширенная проверка). Сертификаты EV требуют тщательной проверки личности лица или организации, запрашивающего сертификат, и поэтому их сложнее получить и они стоят дороже.
Срок действия сертификатов Nvidia для подписи кода, выпущенных LAPSUS$, истек в 2014 и 2018 годах соответственно, и они не являются EV, но их все еще можно использовать для подписи вредоносного кода, который будет загружен в ядро в старых системах Home windows. Их также можно использовать, чтобы попытаться избежать обнаружения некоторыми продуктами безопасности.
Исследователь Флориан Рот уже нашел два образца хакерского инструмента подписано одним из сертификатов на VirusTotal: копия инструмента сброса паролей Mimikatz и копия утилиты драйвера ядра (KDU), которую можно использовать для захвата процессов. Исследователь Мехмет Эргене нашли еще больше вредоносных файлов подписанный сертификатом, включая троян удаленного доступа (RAT) для Discord. Ожидается, что появится больше вредоносных программ, которые злоупотребляют сертификатами Nvidia для легитимности.
Рот и Эрджин выпустили правило YARA и запрос для Microsoft Defender for Endpoint (MDE), которые могут использоваться группами безопасности для поиска файлов, подписанных с помощью этих сертификатов, в своих средах. Microsoft также предлагает политику управления приложениями Защитника Home windows для блокировки вредоносных драйверов, которые можно настроить для добавления новых, и правило уменьшения поверхности атаки (ASR) из Защитника Microsoft для конечной точки.
Авторское право © 2022 IDG Communications, Inc.
https://cyberxhack.org/