Microsoft ha revocado varias cuentas de desarrolladores de hardware de Microsoft después de que los controladores firmados a través de sus perfiles se usaran en ataques cibernéticos, incluidos incidentes de ransomware.
La noticia llega en una divulgación coordinada entre Microsoft , Mandiant , Sophos y SentinelOne.
Los investigadores explican que los piratas informáticos estaban utilizando controladores de hardware maliciosos en modo kernel cuya confianza se verifica con las firmas Authenticode del Programa de desarrollo de hardware de Windows de Microsoft.
“Microsoft fue informado de que los controladores certificados por el Programa de desarrollo de hardware de Windows de Microsoft se estaban utilizando maliciosamente en actividades posteriores a la explotación. En estos ataques, el atacante ya había obtenido privilegios administrativos en sistemas comprometidos antes de usar los controladores”, explica el aviso de Microsoft.
Estos privilegios podrían permitir que un controlador realice varias tareas maliciosas que normalmente no se permiten para las aplicaciones en modo de usuario.
Entre otras acciones, se incluyen finalizar el software de seguridad, eliminar archivos protegidos y actuar como rootkits para ocultar otros procesos.
Como los desarrolladores necesitan comprar un certificado de validación extendida (EV), pasar por un proceso de identificación y enviar controladores examinados por Microsoft, muchas plataformas de seguridad confían automáticamente en el código firmado por Microsoft a través de Windows.
Por esa razón, la capacidad de firmar un controlador en modo kernel por parte de Microsoft para usarlo en campañas maliciosas es un bien altamente preciado para un pirata informático.
Kits de herramientas utilizado para terminar el software de seguridad
En los informes publicados, los investigadores explican cómo encontraron un nuevo conjunto de herramientas que consta de dos componentes llamados STONESTOP (cargador) y POORTRY (controlador en modo kernel) que se utilizan en los ataques.
Según Mandiant y SentinelOne, STONESTOP es una aplicación en modo de usuario que intenta finalizar los procesos de software de seguridad de punto final de un dispositivo.
En otra variante, se incluye la capacidad de sobrescribir y eliminar archivos.
Dado que los procesos de software de seguridad suelen estar protegidos contra la manipulación por parte de las aplicaciones normales, STONESTOP carga el controlador en modo kernel POORTRY firmado por Microsoft para finalizar los procesos protegidos asociados o los servicios de Windows.
La respuesta de microsoft
Microsoft ha publicado actualizaciones de seguridad para revocar los certificados utilizados por los archivos maliciosos y ya ha suspendido las cuentas utilizadas para enviar los controladores a firmar.
También se lanzaron nuevas firmas de Microsoft Defender (1.377.987.0) para detectar controladores firmados legítimos en ataques posteriores a la explotación.
Microsoft mostró por error un prototipo de la interfaz de usuario del próximo Windows
Sin embargo, Microsoft aún debería de compartir cómo los controladores maliciosos pudieron pasar el proceso de revisión en primer lugar.
