Hackers exploit Windows policy to load malicious kernel drivers
Microsoft บล็อกใบรับรองการลงนามโค้ดที่แฮ็กเกอร์และนักพัฒนาชาวจีนใช้เป็นหลักในการเซ็นชื่อและโหลดไดรเวอร์โหมดเคอร์เนลที่เป็นอันตรายบนระบบที่ถูกละเมิดโดยใช้ประโยชน์จากช่องโหว่นโยบายของ Windows ไดรเวอร์โหมดเคอร์เนลทำงานที่ระดับสิทธิ์สูงสุดบน Windows (Ring 0) ทำให้สามารถเข้าถึงเครื่องเป้าหมายได้อย่างสมบูรณ์เพื่อการคงอยู่อย่างซ่อนเร้น การกรองข้อมูลที่ตรวจไม่พบ และความสามารถในการยุติกระบวนการเกือบทั้งหมด แม้ว่าเครื่องมือรักษาความปลอดภัยจะทำงานบนอุปกรณ์ที่ถูกบุกรุก แต่โปรแกรมควบคุมโหมดเคอร์เนลอาจรบกวนการทำงาน ปิดความสามารถในการป้องกันขั้นสูง หรือดำเนินการแก้ไขการกำหนดค่าเป้าหมายเพื่อหลีกเลี่ยงการตรวจจับ
เมื่อใช้ Windows Vista Microsoft ได้แนะนำการเปลี่ยนแปลงนโยบายที่จำกัดวิธีการโหลดโปรแกรมควบคุมโหมดเคอร์เนลของ Windows ลงในระบบปฏิบัติการ โดยกำหนดให้นักพัฒนาต้องส่งโปรแกรมควบคุมของตนเพื่อตรวจสอบและลงนามผ่านทางพอร์ทัลนักพัฒนาของ Microsoft อย่างไรก็ตาม เพื่อป้องกันปัญหาเกี่ยวกับแอปพลิเคชันรุ่นเก่า Microsoft ได้แนะนำข้อยกเว้นต่อไปนี้ที่อนุญาตให้โหลดไดรเวอร์โหมดเคอร์เนลรุ่นเก่าต่อไปได้: พีซีได้รับการอัปเกรดจาก Windows รุ่นก่อนหน้าเป็น Windows 10 เวอร์ชัน 1607 Secure Boot ปิดอยู่ใน BIOS ไดรเวอร์ได้รับการลงนาม [sic] ด้วยใบรับรองเอนทิตีที่ออกก่อนวันที่ 29 กรกฎาคม 2015 ซึ่งเชื่อมโยงไปยัง CA ที่ลงนามข้ามที่รองรับ
รายงานฉบับใหม่โดย Cisco Talos อธิบายว่าผู้คุกคามชาวจีนกำลังใช้ประโยชน์จากนโยบายที่สามโดยใช้เครื่องมือโอเพ่นซอร์ส 2 ตัว ได้แก่ HookSignTool และ FuckCertVerify เพื่อเปลี่ยนวันที่ลงนามของไดรเวอร์ที่เป็นอันตรายก่อนวันที่ 29 กรกฎาคม 2015 โดยการเปลี่ยนวันที่ลงนาม ผู้คุกคามสามารถใช้ใบรับรองที่เก่ากว่า รั่วไหล และไม่ถูกเพิกถอนเพื่อลงชื่อไดรเวอร์และโหลดลงใน Windows เพื่อยกระดับสิทธิ์
https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-policy-to-load-malicious-kernel-drivers/