https://www.csoonline.com/article/3652694/nvidia-hackers-release-code-signing-certificates-that-malware-can-abuse.html#tk.rss_all
グラフィックチップメーカーのNvidiaが所有するシステムに最近侵入したハッカーグループは、同社の古いコード署名証明書を2つリリースしました。
研究者は、ドライバーを使用してカーネルレベルのマルウェアに署名し、ドライバーの署名が検証されているシステムにロードする可能性があると警告しています。
さらに重要なことに、デフォルトでは、Windowsは信頼できる証明書でデジタル署名されていないドライバーのインストールを許可していません。
ドライバーがEV(拡張検証)証明書で署名する必要がある場合にセキュアブートが有効になっているWindows 10ビルド1607以降に制限が導入されました。
LAPSUS $によってリリースされたNvidiaコード署名証明書は、それぞれ2014年と2018年から有効期限が切れており、EVではありませんが、古いWindowsシステムのカーネルに読み込まれる悪意のあるコードに署名するために使用できます。
RothとErgeneは、セキュリティチームが環境内でこれらの証明書で署名されたファイルを検索するために使用できるYARAルールとMicrosoft Defender for Endpoint(MDE)のクエリをリリースしました。
Nvidiaハッカーは、マルウェアが悪用できるコード署名証明書をリリースします、Lucian Constantin
security summary
コメント