Microsoft подписала цифровой подписью вредоносное программное обеспечение

Компания до сих пор не раскрыла причину этого серьезного нарушения безопасности

Название руткит образовано из root ("суперпользователь" в терминах Unix-систем) и kit ("набор инструментов"). Это вредоносная программа, представляющая из себя набор инструментов для системных действий с правами администратора, предназначенная для скрытного получения злоумышленниками административных прав без ведома владельца устройства. Как правило, руткит скрывает от антивирусов собственные действия, либо маскирует работу другого вредоносного программного обеспечения, например – трояна.

В июне этого года представители Microsoft и независимые исследователи сообщили, что компания предоставила своё цифровое одобрение руткиту, который расшифровывал зашифрованные сообщения и отправлял их на контролируемый злоумышленниками сервер.

Ошибка позволила установить вредоносное программное обеспечение на компьютеры с Windows без предупреждения пользователей о безопасности или необходимости принятия дополнительных мер. В течение последних 13 лет Microsoft требовала, чтобы сторонние драйверы и другой код, выполняемые в среде Windows, были протестированы и подписаны цифровой подписью производителя операционной системы для обеспечения стабильности и безопасности. Без сертификата Microsoft эти типы программ не могли быть установлены по умолчанию.

Прослушивание SSL-соединений

В начале июня представители компании G Data CyberDefense AG, известного производителя антивирусного программного обеспечения, заметили, что их система обнаружения вредоносного ПО пометила драйвер под названием Netfilter. Сначала они решили, что обнаружение было ложным, поскольку Microsoft подписала Netfilter своей цифровой подписью в рамках программы совместимости оборудования с Windows (Windows Hardware Compatibility Program, сокращённо WHCP). После дальнейшего тестирования выяснилось, что пометка Netfilter как вредоносного не была ошибкой. Специалисты G Data решили уточнить, что же делает эта вредоносная программа. Им удалось выяснить, что основной функцией программы является перехват SSL-соединений. Помимо компонента перенаправления IP-адресов, Netfilter также устанавливает в реестр Windows свой корневой сертификат и защищает его.

Как мы помним, руткит не даёт просматривать себя в файловых каталогах, диспетчере задач и другими стандартными средствами Windows. В операционной системе корневой сертификат используется для аутентификации трафика, отправляемого через соединения, защищенные протоколом безопасности транспортного уровня, который шифрует передаваемые данные и гарантирует, что сервер, к которому подключен пользователь, является подлинным, а не самозванцем. Обычно сертификаты протокола защиты транспортного уровня (сертификаты TLS) выдаются доверенным центром сертификации Windows. Установив свой корневой сертификат в Windows, хакеры могут обходить требования центра сертификации.

Цифровая подпись Microsoft вместе с инсталлированным вредоносным ПО корневым сертификатом, обеспечивала скрытность этого ПО и давало возможность злоумышленникам перенаправлять расшифрованный TLS-траффик на конкретный адрес.

Серьёзное нарушение безопасности

Компания Microsoft заявила, что расследует деятельность злоумышленника, распространяющего вредоносные драйверы в игровых средах. Драйвер Netfilter был предоставлен на сертификацию через программу совместимости оборудования с Windows.

"Драйверы были созданы третьей стороной. Мы приостановили действия соответствующего аккаунта и проверили отправленные с него материалы на предмет наличия дополнительных признаков вредоносного программного обеспечения".

В том же сообщении говорилось, что Microsoft не нашла доказательство того, что её сертификат цифровой подписи для программы WHCP был скомпрометирован. После этого компания добавила средства обнаружения Netfilter к антивирусному движку Защитника Windows и предоставила алгоритм обнаружения другим производителям антивирусного ПО. После проведённого разбирательства Microsoft сделала следующее сообщение:

"Деятельность злоумышленников ограничена игровым сегментом, в основном в Китае, и, по-видимому, не нацелена на корпоративный сегмент. В данный момент мы не приписываем эти действия какому-либо государству. Цель злоумышленников – использовать драйвер для подделки своего географического местоположения, чтобы обмануть систему и играть из любого места. Вредоносная программа позволяла им получать преимущество в играх и, возможно, использовать других игроков, компрометируя их учетные записи с помощью обычных инструментов, таких как кейлоггеры.

Важно понимать, что методы, используемые в этой атаке, применяются после эксплуатации, то есть злоумышленник должен либо уже получить административные привилегии, чтобы иметь возможность запустить установщик для обновления реестра и установки вредоносного драйвера при следующей загрузке системы, либо убедить пользователя сделать это от его имени".

Примечание: Кейлоггер - программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя (нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и так далее).

Несмотря на перечисленные в сообщении ограничения, ошибка, допущенная Microsoft, очень серьёзная. Программа сертификации WHCP как раз и предназначена для предотвращения именно таких атак, какая и была обнаружена специалистами G Data. Компания Microsoft не сообщила, каким образом цифровая подпись появилась у вредоносного ПО. Представители ИТ-гиганта отказались давать по этому поводу какие-либо пояснения.

По материалам портала Ссылка