eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetCyberprzestępcy atakują Windows przez open-source

Cyberprzestępcy atakują Windows przez open-source

2023-07-14 09:24

Cyberprzestępcy atakują Windows przez open-source

Cyberprzestępcy atakują Windows przez open-source © pixabay.com

Uwaga na kolejną lukę w systemie Windows. Cisco Talos poinformował o wykryciu grupy cyberprzestępców wykorzystujących narzędzia open-source zdolne do modyfikacji daty podpisania sterowników. Celem aktywności cyberoszustów jest załadowanie złośliwych i niesprawdzonych sterowników podpisanych wygasłymi już certyfikatami. Microsoft pracuje nad skutecznym blokowaniem wszystkich niebezpiecznych certyfikatów.

Przeczytaj także: Hakerzy skorzystali z ponad 500 narzędzi i technik w 2022 roku

Z tego tekstu dowiesz się m.in.:


  • Czemu służą narzędzia typu HookSignTool?
  • Jakie kroki podejmowane są w celu ochrony użytkowników przed luką w systemie Windows?
  • Jak skonfigurować system, aby starsze sterowniki nie stanowiły niebezpieczeństwa?

Luka w Windows umożliwia fałszowanie znaczników czasowych sterowników, umożliwiając w ten sposób działanie szkodliwego oprogramowania. W wersji 1607, Microsoft zaktualizował swoje zasady tak, aby nie dopuszczać do jądra systemu sterowników, które nie zostały oficjalnie przesłane i zweryfikowane za pośrednictwem portalu dla programistów Microsoftu. Proces ten miał zapewnić, że sterowniki spełniają wymagania i standardy bezpieczeństwa firmy, jednak stworzył jednocześnie wyjątek dla starszego oprogramowania. Zespół Cisco Talos zaobserwował chińskojęzyczne grupy cyberprzestępców wykorzystujące tę lukę do ataków z użyciem tysięcy złośliwych sterowników.

Aby starsze sterowniki działały należycie, potrzebna jest odpowiednia konfiguracja systemu. Obecnie oznacza ona, że:
  • Komputer został zaktualizowany do systemu Windows 10 w wersji 1607.
  • Funkcja Secure Boot jest wyłączona w BIOS-ie.
  • Sterowniki zostały podpisane certyfikatem podmiotu końcowego wydanym przed 29 lipca 2015 r., który łączy się z obsługiwanym urzędem certyfikacji z podpisem krzyżowym.

Trzecia z zasad poskutkowała luką, która pozwala na podpisywanie nowych sterowników za pomocą nieodwołanych certyfikatów wydanych lub wygasłych przed 29 lipca 2015 r. Jedynym warunkiem jest powiązanie certyfikatu z obsługiwanym potwierdzeniem certyfikacji z podpisem krzyżowym. Jeśli sterownik zostanie pomyślnie podpisany w ten sposób, nie będzie można zapobiec jego instalacji i uruchomieniu jako usługi. Technika ta stanowi poważne zagrożenie dla systemów Windows i jest stosunkowo łatwa do wykonania, częściowo ze względu na publicznie dostępne narzędzia.

fot. pixabay.com

Cyberprzestępcy atakują Windows przez open-source

Cyberprzestępcy wykorzystują narzędzia open-source do instalowania tysięcy złośliwych sterowników.


Cyberprzestępcy wykorzystują narzędzia open-source do instalowania tysięcy złośliwych sterowników


Cisco Talos zaobserwował wiele grup wykorzystujących wspomnianą lukę do instalowania tysięcy złośliwych, fałszywie podpisanych sterowników bez przesyłania ich do Microsoftu w celu weryfikacji. Podczas badań zespół Talos zidentyfikował podmioty wykorzystujące narzędzia takie jak HookSignTool, służące do fałszowania znaczników czasowych, w celu wdrożenia złośliwych sterowników. Chociaż zyskały one pewną popularność w społeczności twórców cheatów w grach, Talos wykrył również użycie tego typu narzędzi w innych przypadkach.

Narzędzia cyberprzestępców i skutki fałszywych certyfikatów


Narzędzia takie jak HookSignTool stanowią poważne zagrożenie, ponieważ instalacja złośliwych sterowników może zapewnić atakującemu dostęp do jądra systemu operacyjnego. Narzędzia te mogą być również wykorzystane do ponownego podpisania scrackowanego sterownika w celu ominięcia DRM, co może prowadzić do strat finansowych związanych z piractwem oprogramowania. Oprócz tych zagrożeń, uruchamianie niezweryfikowanych sterowników może uszkodzić system, jeśli sterownik nie jest prawidłowo napisany.

Eksperci z Cisco Talos zalecają blokowanie wymienionych certyfikatów, ponieważ złośliwe sterowniki są trudne do wykrycia i są najskuteczniej blokowane na podstawie skrótów plików lub certyfikatów użytych do ich podpisania. Porównanie znacznika czasu podpisu z datą kompilacji sterownika może czasami być skutecznym sposobem wykrywania przypadków fałszowania. Należy jednak pamiętać, że daty kompilacji mogą zostać zmienione, aby dopasować znaczniki czasu podpisu.

Zespół Talos monitoruje problematyczne podpisy sterowników i będzie nadal przyglądać się aktywności cyberprzestępców, aby informować o przyszłych zagrożeniach. Ponadto Cisco na bieżąco zgłasza Microsoft wszelkie ustalenia dotyczące nowych form ataków.

Jak Cisco zabezpiecza swoich użytkowników przed niebezpieczeństwami wynikającymi z fałszywych certyfikatów:


  • Cisco Secure Endpoint (wcześniej AMP for Endpoints) zapobiega instalowaniu złośliwego oprogramowania.
  • Urządzenia Cisco Secure Firewall (dawniej Next-Generation Firewall i Firepower NGFW), posiadają m.in. funkcje Threat Defense Virtual, Adaptive Security Appliance i Meraki MX, które mogą wykrywać złośliwą aktywność związaną z zagrożeniem.
  • Cisco Secure Malware Analytics (Threat Grid) identyfikuje złośliwe pliki i wzmacnia ochronę we wszystkich produktach z rodziny Cisco Secure.

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: