I ricercatori di sicurezza delle società Mandiant, SentinelOne e Sophos hanno comunicato di aver scoperto che esistono alcuni driver firmati da Microsoft che sono stati utilizzati per la messa a segno di attacchi informatici di vario tipo su Windows, anche e soprattutto con ransomware.
Windows: driver firmati da Microsoft con malware
Per poter far immediatamente fronte alla cosa, Microsoft ha sospeso gli account WHDP, revocato i certificati e aggiornato Microsoft Defender per bloccare eventuali exploit.
Riportiamo di seguito, in forma tradotta, l’avviso al riguardo che è stato pubblicato da Microsoft sul suo sito.
Microsoft è stata informata che i driver certificati dal Windows Hardware Developer Program di Microsoft venivano utilizzati in modo dannoso nelle attività post-sfruttamento. In questi attacchi, l'attaccante aveva già ottenuto privilegi amministrativi sui sistemi compromessi prima dell'uso dei driver.
Siamo stati informati di questa attività da SentinelOne, Mandiant e Sophos il 19 ottobre 2022 e successivamente abbiamo condotto un'indagine su questa attività.
Questa indagine ha rivelato che diversi account di sviluppo per il Microsoft Partner Center erano impegnati nell'invio di driver dannosi per ottenere una firma Microsoft.
Un nuovo tentativo di presentare un driver dannoso per la firma il 29 settembre 2022, ha portato alla sospensione dei conti dei venditori all'inizio di ottobre.
Da tenere presente che i driver di Windows sono eseguiti con i privilegi più elevati, per cui si rivela indispensabile ottenere un certificato (firma digitale) che conferma l’autenticità.
I ricercatori hanno però scovato un toolkit composto da STONESTOP (loader) e POORTRY (driver) che consente di disattivare gli antivirus e distribuire i malware.
Da sottolineare che la maggior parte delle soluzioni di sicurezza non bloccano i driver firmati da Microsoft, in quanto considerati sicuri, ma è comunque sempre bene installare sul proprio computer un software antivirus per evitare qualsiasi genere di problema, come nel caso dell’ottimo Norton 360 Premium.