Perşembe, Haziran 20, 2024
Ana SayfaTeknoloji HaberleriMicrosoft dijital sertifikaları bir kez daha kötü amaçlı yazılımları imzalamak için kötüye...

Microsoft dijital sertifikaları bir kez daha kötü amaçlı yazılımları imzalamak için kötüye kullanıldı

Bir devreye benzeyecek şekilde yapılmış ve şifreli metin içeren bir yüzeye yerleştirilmiş mavi bir dijital anahtarın düşük açılı görünümü.

Getty Resimleri

Microsoft, yasal dijital sertifikalarının kötü amaçlı yazılımları vahşi ortamda imzalamasına izin verirken bir kez daha yakalandı; bu, kötü amaçlı dosyaların Windows işletim sisteminde çalışmasını önlemek için tasarlanmış katı güvenlik kontrollerinden geçmesine izin veren bir hatadır.

Windows ve uç nokta güvenlik uygulamalarına kötü amaçlı sistem sürücülerinin Microsoft tarafından güvenli olarak onaylandığı izlenimini vermek için kullandıkları Microsoft’un dijital damgasının kötüye kullanılmasına birden fazla tehdit aktörü karıştı. Bu, kötü amaçlı sürücü imzalamayı bir hizmet olarak satan bir veya daha fazla kötü niyetli kuruluş olabileceği yönünde spekülasyonlara yol açtı. Toplamda, araştırmacılar son aylarda sertifikaları kötüye kullanan en az dokuz ayrı geliştirici kuruluşu belirlediler.

Kötüye kullanım, bağımsız olarak dört üçüncü taraf güvenlik şirketi tarafından keşfedildi ve daha sonra özel olarak Microsoft’a bildirildi. Salı günü, Microsoft’un aylık Salı Yaması sırasında şirket bulguları doğruladı ve kötüye kullanımın birkaç geliştirici hesabından geldiğini belirlediğini ve herhangi bir ağ ihlali tespit edilmediğini söyledi.

Yazılım üreticisi şimdi geliştirici hesaplarını askıya aldı ve Windows’un güvenliği ihlal edilmiş sertifikaları imzalamak için kullanılan sertifikalara güvenmesini önlemek için engelleme tespitleri uyguladı. Şirket yetkilileri, “Microsoft, tüm müşterilerin en son Windows güncellemelerini yüklemelerini ve virüsten koruma ve uç nokta algılama ürünlerinin en son imzalarla güncel olduğundan ve bu saldırıları önleyecek şekilde etkinleştirildiğinden emin olmalarını tavsiye ediyor” diye yazdı.

Kod imzalama astarı

Çoğu sürücünün çekirdeğe (işletim sisteminin en hassas bölümlerinin bulunduğu Windows’un çekirdeği) doğrudan erişimi olduğundan, Microsoft bunların tasdik olarak bilinen şirket içi bir süreç kullanılarak dijital olarak imzalanmasını gerektirir. Bu dijital imza olmadan, Windows sürücüyü yüklemeyecektir. Tasdik, üçüncü taraf güvenlik ürünlerinin bir sürücünün güvenilir olup olmadığına karar vermesi için fiili bir araç haline geldi. Microsoft’un, sürücülerin uyumluluğu sağlamak için çeşitli ek testler çalıştırdığı Microsoft Windows Donanım Uyumluluk Programı olarak bilinen ayrı bir sürücü doğrulama süreci vardır.

Sürücülerin Microsoft tarafından imzalanması için, bir donanım geliştiricisinin önce, geliştiricinin kimliğini bir Windows güvenilir sertifika yetkilisine kanıtlamasını ve ek güvenlik güvenceleri sağlamasını gerektiren genişletilmiş bir doğrulama sertifikası alması gerekir. Geliştirici daha sonra EV sertifikasını Windows Donanım Geliştirici Programı hesabına ekler. Geliştiriciler daha sonra sürücü paketlerini test için Microsoft’a gönderir.

Sertifikanın kötüye kullanıldığını keşfeden ve özel olarak Microsoft’a bildiren üç güvenlik firmasından biri olan SentinelOne’dan araştırmacılar şunları açıkladı:

Bu işlemle ilgili ana sorun, çoğu güvenlik çözümünün yalnızca Microsoft tarafından imzalanan herhangi bir şeye, özellikle çekirdek modu sürücülerine dolaylı olarak güvenmesidir. Microsoft, Windows 10’dan başlayarak, tüm çekirdek modu sürücülerinin Windows Donanım Geliştirici Merkezi Panosu portalı kullanılarak imzalanmasını zorunlu kılmaya başladı. Bu işlemle imzalanmayan herhangi bir şey, modern Windows sürümlerinde yüklenemez. Bu yeni gereksinimin amacı, çekirdek düzeyinde çalışan sürücüler üzerinde daha sıkı denetim ve görünürlük elde etmek olsa da, tehdit aktörleri, süreci oynayabilirlerse, istediklerini yapmakta özgür olacaklarını fark ettiler. Ancak işin püf noktası, inceleme sürecinde Microsoft tarafından uygulanan güvenlik kontrollerine kötü niyetli görünmeyen bir sürücü geliştirmektir.

Kötüye kullanımı keşfeden başka bir güvenlik firması olan Mandiant, “farklı tehdit aktörleriyle ilişkili birkaç farklı kötü amaçlı yazılım ailesinin Windows Donanım Uyumluluk Programı aracılığıyla imzalandığını” söyledi. Şirket araştırmacıları, programı kötüye kullanan en az dokuz kuruluş adı belirledi. Tehdit aktörleri bir şekilde Microsoft sertifikalarına erişim sağlamanın yanı sıra, üçüncü taraf sertifika yetkililerinden EV sertifikaları almayı da başardı.

RELATED ARTICLES

Popüler Konular