Usean laitteen lisenssit (määräalennukset)
Computer Security Nvidia-hyökkäyksessä puristetut koodin...

Nvidia-hyökkäyksessä puristetut koodin allekirjoitussertifikaatit, joita käytetään haittaohjelmiin

Vuonna Mura vuonna Computer Security
Käännä:
Suomi

Nvidialle kuuluvia varmenteita, jotka varastettiin osana siruvalmistajan kyberhyökkäystä helmikuun 2022 lopulla, käytetään tällä hetkellä haitallisen koodin allekirjoittamiseen, jotta haittaohjelmat yritettäisiin työntää automaattisen suojan ohi.

Nvidia-varmenteilla allekirjoitettuja haittapaketteja käytetään Windows-pohjaisten järjestelmien kohdistamiseen. Nvidia joutui Lapsus$ ransomware -jengin kohteeksi helmikuun lopulla ja kyseiset sertifikaatit suodatettiin osana hyökkäystä. Lapsus$-hyökkäyksen yhteenvetomäärä oli noin 1 Tt dataa, joka kuljetettiin siruvalmistajan palvelimilta.

Käyttöjärjestelmä hyväksyy edelleen vanhentuneet varmenteet

Varastettujen varmenteiden lisäksi Lapsus$ onnistui varastamaan yli 70 tuhannen Nvidian työntekijän kaavioita, ajureita sekä sähköposti- ja salasanahajautustietoja.

Tietoturvatutkijat kävivät Twitterissä muutama päivä ensimmäisen hyökkäyksen jälkeen ja ilmoittivat, että samoja varmenteita käytettiin haittaohjelmia sisältävien binäärien allekirjoittamiseen. Varastettujen sertifikaattien avulla käytetyt kuormat tunnistettiin myöhemmin Mimikatzin , Cobalt Striken ja takaoven ja etäkäytön haittatyökaluiksi.

Vaikka varastetut Nvidia-varmenteet ovat vanhentuneet, tutkijat havaitsivat, että niitä voidaan edelleen käyttää ohjelmistojen, kuten Windows-koneissa hyvin käyttöönotettavien ohjaimien, allekirjoittamiseen.

Will Dormann, CERT:n haavoittuvuusanalyytikko, ja Kevin Beaumont jakoivat väärinkäytettyjen Nvidia-sertifikaattien sarjanumerot, jotka ovat seuraavat:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft tarjoaa lieventäviä tekniikoita

Microsoftin yritys- ja käyttöjärjestelmän tietoturvajohtaja twiittasi tavan rajoittaa sitä, mitä Nvidia-ajurit saavat ladata järjestelmään, mutta tämän tekeminen edellyttää Windows Defenderin sovellushallintakäytäntöjen asetusten säätämistä, mikä ei ole aivan helppoa selvittää säännöllisesti. käyttäjiä kotona, mutta sen pitäisi silti olla avuksi yrityksille ja suuremmille verkoille, joilla on omistautunut tietoturvahenkilöstö.

Osana hyökkäystään Nvidiaa vastaan Lapsus$ ransomware -jengi vaati, että siruvalmistaja tekisi kaikista ohjaimistaan avoimen lähdekoodin, mikä ei ilmeisesti koskaan tule tapahtumaan. Hakkerit uhkasivat vapauttaa lähteen itse, mutta tämä on edelleen vain uhkaus tässä vaiheessa.

Ladataan...