Microsoft a de nouveau été surpris en train d’autoriser ses certificats numériques légitimes à signer des logiciels malveillants dans la nature, une défaillance qui permet aux fichiers malveillants de passer des contrôles de sécurité stricts conçus pour les empêcher de s’exécuter sur le système d’exploitation Windows.
Plusieurs acteurs de la menace ont été impliqués dans l’utilisation abusive de l’imprimatur numérique de Microsoft, qu’ils ont utilisé pour donner à Windows et aux applications de sécurité des terminaux l’impression que les pilotes système malveillants avaient été certifiés sûrs par Microsoft. Cela a conduit à la spéculation qu’il pourrait y avoir une ou plusieurs organisations malveillantes vendant la signature de pilotes malveillants en tant que service. Au total, les chercheurs ont identifié au moins neuf entités de développement distinctes qui ont abusé des certificats au cours des derniers mois.
L’abus a été découvert de manière indépendante par quatre sociétés de sécurité tierces, qui l’ont ensuite signalé en privé à Microsoft. Mardi, lors du Patch Tuesday mensuel de Microsoft, la société a confirmé les conclusions et a déclaré qu’elle avait déterminé que l’abus provenait de plusieurs comptes de développeurs et qu’aucune violation du réseau n’avait été détectée.
Le fabricant de logiciels a maintenant suspendu les comptes de développeur et mis en place des détections de blocage pour empêcher Windows de faire confiance aux certificats utilisés pour signer les certificats compromis. « Microsoft recommande à tous les clients d’installer les dernières mises à jour de Windows et de s’assurer que leurs produits antivirus et de détection des terminaux sont à jour avec les dernières signatures et sont activés pour empêcher ces attaques », ont écrit les responsables de l’entreprise.
Introduction à la signature de code
Étant donné que la plupart des pilotes ont un accès direct au noyau, le cœur de Windows où résident les parties les plus sensibles du système d’exploitation, Microsoft exige qu’ils soient signés numériquement à l’aide d’un processus interne de l’entreprise appelé attestation. Sans cette signature numérique, Windows ne chargera pas le pilote. L’attestation est également devenue un moyen de facto pour les produits de sécurité tiers de décider si un conducteur est digne de confiance. Microsoft dispose d’un processus de validation de pilote distinct connu sous le nom de programme de compatibilité matérielle Microsoft Windows, dans lequel les pilotes exécutent divers tests supplémentaires pour garantir la compatibilité.
Pour obtenir des pilotes signés par Microsoft, un développeur de matériel doit d’abord obtenir un certificat de validation étendue, ce qui oblige le développeur à prouver son identité à une autorité de certification de confiance Windows et à fournir des garanties de sécurité supplémentaires. Le développeur attache ensuite le certificat EV à son compte Windows Hardware Developer Program. Les développeurs soumettent ensuite leur package de pilotes à Microsoft pour test.
Les chercheurs de SentinelOne, l’une des trois sociétés de sécurité qui ont découvert l’utilisation abusive du certificat et l’ont signalé en privé à Microsoft, ont expliqué :
Le principal problème avec ce processus est que la plupart des solutions de sécurité font implicitement confiance à tout ce qui est signé uniquement par Microsoft, en particulier les pilotes en mode noyau. À partir de Windows 10, Microsoft a commencé à exiger que tous les pilotes en mode noyau soient signés à l’aide du portail du tableau de bord Windows Hardware Developer Center. Tout ce qui n’est pas signé via ce processus ne peut pas être chargé dans les versions modernes de Windows. Alors que l’intention de cette nouvelle exigence était d’avoir un contrôle et une visibilité plus stricts sur les pilotes opérant au niveau du noyau, les acteurs de la menace ont réalisé que s’ils pouvaient jouer le processus, ils auraient libre cours pour faire ce qu’ils veulent. L’astuce consiste cependant à développer un pilote qui ne semble pas être malveillant pour les contrôles de sécurité mis en œuvre par Microsoft lors du processus de révision.
Mandiant, une autre société de sécurité qui a découvert l’abus, a déclaré que « plusieurs familles de logiciels malveillants distinctes, associées à des acteurs de menace distincts, ont été signées via le programme de compatibilité matérielle de Windows ». Les chercheurs de l’entreprise ont identifié au moins neuf noms d’organisations abusant du programme. En plus d’avoir en quelque sorte accès aux certificats Microsoft, les acteurs de la menace ont également réussi à obtenir des certificats EV auprès d’autorités de certification tierces.