Microsoft a bloqué les certificats de signature de code principalement utilisés par les pirates et les développeurs chinois pour signer et charger des pilotes malveillants en mode noyau sur des systèmes piratés en exploitant une faille de la politique Windows.
Les pilotes en mode noyau fonctionnent au niveau de privilège le plus élevé sur Windows (Ring 0), permettant un accès complet à la machine cible pour une persistance furtive, une exfiltration de données indétectable et la possibilité de mettre fin à presque tous les processus.
Même si les outils de sécurité sont actifs sur le périphérique compromis, un pilote en mode noyau peut interférer avec leur fonctionnement, désactiver leurs capacités de protection avancées ou effectuer des modifications de configuration ciblées pour échapper à la détection.
Avec Windows Vista, Microsoft a introduit des changements de politique limitant la manière dont les pilotes en mode noyau Windows pouvaient être chargés dans le système d’exploitation, obligeant les développeurs à soumettre leurs pilotes pour examen et à les signer via le portail des développeurs de Microsoft.
Cependant, pour éviter les problèmes avec les anciennes applications, Microsoft a introduit les exceptions suivantes qui permettaient aux anciens pilotes en mode noyau de continuer à être chargés :
- Le PC a été mis à niveau d’une version antérieure de Windows vers Windows 10, version 1607.
- Secure Boot est désactivé dans le BIOS.
- Les pilotes ont été [sic] signés avec un certificat d’entité finale émis avant le 29 juillet 2015 qui est lié à une autorité de certification à signature croisée prise en charge
Un nouveau rapport de Cisco Talos explique que les pirates chinois exploitent la troisième politique en utilisant deux outils open source, « HookSignTool » et « FuckCertVerify », pour modifier la date de signature des pilotes malveillants avant le 29 juillet 2015.
En modifiant la date de signature, les acteurs de la menace peuvent utiliser des certificats plus anciens, divulgués et non révoqués pour signer leurs pilotes et les charger dans Windows pour une élévation des privilèges.
HookSignTool et FuckCertVerify
HookSignTool est un outil riche en fonctionnalités publié en 2019 sur un forum chinois de piratage de logiciels, utilisant l’API Windows avec un outil de signature de code légitime pour effectuer la signature de pilotes malveillants.
L’outil utilise la bibliothèque Microsoft Detours pour intercepter et surveiller les appels d’API Win32 et une implémentation personnalisée de la fonction « CertVerifyTimeValidity » nommée « NewCertVerifyTimeValidity », qui vérifie les heures non valides.
HackSignTool nécessite la présence du « certificat JemmyLoveJenny EV Root CA » pour signer les fichiers du pilote avec un horodatage antidaté, qui est disponible sur le site Web de l’auteur de l’outil.
Cependant, l’utilisation de ce certificat laisse des artefacts dans la signature falsifiée, ce qui permet d’identifier les pilotes signés avec HookSignTool.
Dans un rapport séparé également publié aujourd’hui, Cisco Talos détaille un exemple concret d’un pilote malveillant appelé « RedDriver », signé à l’aide de HookSignTool.
RedDriver est un pirate de navigateur qui intercepte le trafic du navigateur, ciblant Chrome, Edge et Firefox, ainsi qu’une longue liste de navigateurs populaires en Chine.
FuckCertVerify est un autre outil utilisé par les acteurs de la menace pour modifier les horodatages de signature des pilotes malveillants en mode noyau, initialement mis à disposition sur GitHub en décembre 2018 en tant qu’outil de triche de jeu.
« FuckCertVerifyTimeValidity fonctionne de la même manière que HookSignTool en ce sens qu’il utilise le package Microsoft Detours pour se connecter à l’appel d’API « CertVerifyTimeValidity » et définit l’horodatage à une date choisie », explique Cisco Talos.
« [Mais] contrairement à HookSignTool, FuckCertVerifyTimeValidity ne laisse pas d’artefacts dans le binaire qu’il signe, ce qui rend très difficile l’identification du moment où cet outil a été utilisé. »
Les deux outils nécessitent un certificat de signature de code non révoqué émis avant le 29 juillet 2015, date à laquelle Microsoft a introduit le changement de politique, ainsi que la clé privée et le mot de passe correspondants.
Les chercheurs de Cisco ont trouvé plus d’une douzaine de certificats dans les référentiels GitHub et les forums en chinois qui peuvent être utilisés par ces outils, qui sont largement utilisés pour les cracks de jeux qui peuvent contourner les contrôles DRM et les pilotes de noyau malveillants.
Microsoft révoque les certificats
Dans un avis connexe publié aujourd’hui, Microsoft indique que Sophos et Trend Micro ont également signalé cette activité malveillante.
Après avoir été divulgué de manière responsable, Microsoft a révoqué les certificats associés et suspendu les comptes de développeur en abusant de cette faille de la politique Windows.
« Microsoft a publié des mises à jour de sécurité de Windows (voir le tableau des mises à jour de sécurité) qui ne font plus confiance aux pilotes et aux certificats de signature de pilote pour les fichiers concernés et a suspendu les comptes vendeurs des partenaires », explique l’avis de Microsoft.
« De plus, Microsoft a mis en place des détections de blocage (Microsoft Defender 1.391.3822.0 et plus récent) pour aider à protéger les clients contre les pilotes légitimement signés qui ont été utilisés de manière malveillante dans les activités post-exploit. »
« Pour plus d’informations sur la façon dont la fonctionnalité Windows Code Integrity protège les clients Microsoft contre les certificats révoqués, consultez : Avis d’ajouts à la liste de révocation Windows Driver.STL. »
Cisco Talos a déclaré à Breachtrace que Microsoft n’avait pas attribué de CVE à cet abus car la société ne le classe pas comme une vulnérabilité.
Dans un rapport également publié aujourd’hui, Sophos a déclaré avoir trouvé plus d’une centaine de pilotes de noyau malveillants utilisés comme « EDR Killers » pour mettre fin aux logiciels de sécurité généralement protégés des programmes en mode utilisateur.
Comme ces pilotes fournissent des privilèges de noyau, ils peuvent être utilisés pour arrêter n’importe quel logiciel, y compris les processus antivirus protégés.
Microsoft a également révoqué ces pilotes dans le cadre de sa mise à jour de la liste de révocation Windows Driver.STL.
Alors que les certificats découverts par Cisco et Sophos ont maintenant été révoqués, le risque est loin d’être éliminé car d’autres certificats restent probablement exposés ou volés, permettant aux acteurs de la menace de continuer à abuser de cette faille de la politique Windows.