Licenser för flera enheter (volymrabatter)
Computer Security Kodsigneringscertifikat som kläms i Nvidia-attack används...

Kodsigneringscertifikat som kläms i Nvidia-attack används för skadlig programvara

Med Mura år Computer Security
Översätt till:
Svenska

Certifikat som tillhör Nvidia som snattades som en del av cyberattacken mot chiptillverkaren i slutet av februari 2022 används för närvarande för att signera skadlig kod, i ett försök att skjuta skadlig programvara förbi automatiserade försvar.

De skadliga paketen signerade med Nvidia-certifikaten används för att rikta in sig på Windows-baserade system. Nvidia var måltavla av Lapsus$ ransomware-gänget i slutet av februari och certifikaten i fråga exfiltrerades som en del av attacken. Sammanfattningsvolymen för Lapsus$-attacken uppgick till cirka 1 TB data som hämtades från chiptillverkarens servrar.

Utgångna certifikat accepteras fortfarande av OS

Utöver de stulna certifikaten lyckades Lapsus$ även stjäla scheman, drivrutiner och e-post- och lösenordshaschade data som tillhör över 70 tusen Nvidia-anställda.

Säkerhetsforskare gick till Twitter några dagar efter den första attacken och rapporterade att samma certifikat användes för att signera binärfiler som innehåller skadlig programvara. Nyttolasterna som använde de stulna certifikaten identifierades senare som instanser av Mimikatz, Cobalt Strike och skadliga verktyg för bakdörr och fjärråtkomst.

Även om de stulna Nvidia-certifikaten har gått ut, upptäckte forskare att de fortfarande var användbara för att signera programvara som till exempel drivrutiner som skulle kunna installeras bra på Windows-maskiner.

Will Dormann, sårbarhetsanalytiker på CERT, och Kevin Beaumont delade serienumren för de missbrukade Nvidia-certifikaten, som är följande:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft erbjuder begränsningstekniker

Microsofts chef för företags- och OS-säkerhet twittrade ut ett sätt att begränsa vad Nvidia-drivrutiner tillåts ladda på systemet, men för att göra detta krävs justeringar i Windows Defender-programkontrollpolicyerna, vilket inte precis är en lätt sak att ta reda på för regelbunden användare i hemmet, men bör ändå vara till hjälp för företag och större nätverk som har dedikerad IT-säkerhetspersonal.

Som en del av sin attack mot Nvidia ställde Lapsus$ ransomware-gänget ett krav på att chiptillverkaren skulle göra alla sina drivrutiner öppen källkod, något som uppenbarligen aldrig kommer att hända. Hackarna hotade att själva släppa källan, men detta är fortfarande bara ett hot vid det här laget.

Läser in...