Peretas Eksploitasi Celah Kebijakan Windows untuk Palsukan Signatures pada Kernel-Mode Drivers.
The Hacker News
Cyberthreat.id - Celah kebijakan Microsoft Windows telah diamati sedang dieksploitasi terutama oleh pelaku ancaman berbahasa Mandarin asli untuk memalsukan signatures pada kernel-mode drivers.
"Aktor memanfaatkan beberapa alat sumber terbuka yang mengubah tanggal penandatanganan driver mode kernel untuk memuat driver jahat dan tidak terverifikasi yang ditandatangani dengan sertifikat kedaluwarsa," kata Cisco Talos dalam laporan dua bagian lengkap yang dibagikan dengan The Hacker News.
"Ini adalah ancaman besar, karena akses ke kernel menyediakan akses lengkap ke sistem, dan karenanya kompromi total."
Menyusul pengungkapan yang bertanggung jawab, Microsoft mengatakan telah mengambil langkah-langkah untuk memblokir semua sertifikat untuk mengurangi ancaman tersebut.
Lebih lanjut dinyatakan bahwa penyelidikannya menemukan "aktivitas tersebut terbatas pada penyalahgunaan beberapa akun program pengembang dan tidak ada penyusupan akun Microsoft yang telah diidentifikasi."
“Raksasa teknologi itu, selain menangguhkan akun program pengembang yang terlibat dalam insiden tersebut, menekankan bahwa pelaku ancaman telah memperoleh hak administratif pada sistem yang disusupi sebelum menggunakan driver,” tulis The Hacker News.
“Perlu diketahui bahwa pembuat Windows telah meluncurkan perlindungan pemblokiran serupa pada Desember 2022 untuk mencegah penyerang ransomware menggunakan driver yang ditandatangani Microsoft untuk aktivitas pasca-eksploitasi.”
Pemberlakuan signatures driver, yang mengharuskan kernel-mode drivers untuk ditandatangani secara digital dengan sertifikat dari Portal Dev Microsoft, adalah garis pertahanan penting terhadap driver berbahaya, yang berpotensi dipersenjatai untuk menghindari solusi keamanan, mengutak-atik proses sistem, dan mempertahankan kegigihan .
Kelemahan baru yang ditemukan oleh Cisco Talos memungkinkan untuk memalsukan tanda tangan pada driver mode kernel, sehingga memungkinkan kebijakan sertifikat Windows untuk dilewati.
Hal ini dimungkinkan karena pengecualian yang dibuat oleh Microsoft untuk menjaga kompatibilitas, yang mengizinkan driver bertanda silang jika mereka "ditandatangani dengan sertifikat entitas akhir yang dikeluarkan sebelum 29 Juli 2015 yang berantai ke [otoritas sertifikat bertanda silang yang didukung]."
"Pengecualian ketiga menciptakan celah yang memungkinkan driver yang baru dikompilasi untuk ditandatangani dengan sertifikat yang tidak dicabut yang dikeluarkan sebelum atau kedaluwarsa sebelum 29 Juli 2015, asalkan rantai sertifikat ke otoritas sertifikat bertanda silang yang didukung," demikian perusahaan keamanan siber.
Akibatnya, driver yang ditandatangani dengan cara ini tidak akan dicegah untuk dimuat di perangkat Windows, sehingga memungkinkan pelaku ancaman memanfaatkan klausa pelarian untuk menyebarkan ribuan driver berbahaya yang ditandatangani tanpa mengirimkannya ke Microsoft untuk verifikasi.
Driver jahat ini disebarkan menggunakan perangkat lunak penempaan stempel waktu tanda tangan seperti HookSignTool dan FuckCertVerifyTimeValidity, yang masing-masing telah tersedia untuk umum sejak 2019 dan 2018.
HookSignTool telah dapat diakses melalui GitHub sejak 7 Januari 2020, sementara FuckCertVerifyTimeValidity pertama kali berkomitmen pada layanan hosting kode pada 14 Desember 2018.
"HookSignTool adalah alat pemalsuan tanda tangan driver yang mengubah tanggal penandatanganan driver selama proses penandatanganan melalui kombinasi pengait ke Windows API dan secara manual mengubah tabel impor alat penandatanganan kode yang sah," jelas Cisco Talos.
Secara khusus, ini melibatkan pengait ke fungsi CertVerifyTimeValidity, yang memverifikasi validitas waktu sertifikat, untuk mengubah stempel waktu penandatanganan selama eksekusi.
"Proyek kecil ini mencegah signtool memverifikasi [sic] validitas waktu sertifikat dan membiarkan Anda menandatangani bin Anda dengan sertifikat usang tanpa mengubah waktu sistem secara manual," halaman GitHub untuk FuckCertVerifyTimeValidity berbunyi.
"Ini menginstal hook ke crypt32!CertVerifyTimeValidity dan membuatnya selalu mengembalikan 0 dan membuat kernel32!GetLocalTime mengembalikan apa yang Anda inginkan karena Anda dapat menambahkan "-fuckyear 2011" ke baris perintah signtool untuk menandatangani sertifikat dari tahun 2011."
Meskipun demikian, melakukan pemalsuan yang berhasil memerlukan sertifikat penandatanganan kode yang tidak dicabut yang dikeluarkan sebelum 29 Juli 2015, bersama dengan kunci privat dan frasa sandi sertifikat.
Cisco Talos mengatakan menemukan lebih dari selusin sertifikat penandatanganan kode dengan kunci dan kata sandi yang terkandung dalam file PFX yang dihosting di GitHub dalam repositori bercabang dari FuckCertVerifyTimeValidity. Tidak segera jelas bagaimana sertifikat ini diperoleh.
Terlebih lagi, telah diamati bahwa HookSignTool telah digunakan untuk menandatangani ulang driver yang retak untuk melewati pemeriksaan integritas manajemen hak digital (DRM), dengan aktor bernama "Juno_Jr" merilis versi retak dari PrimoCache, solusi caching perangkat lunak yang sah , dalam forum cracking perangkat lunak China pada 9 November 2022.
"Dalam versi retak [...], driver yang ditambal ditandatangani ulang dengan sertifikat yang awalnya dikeluarkan untuk 'Shenzhen Luyoudashi Technology Co., Ltd.,' yang terdapat dalam file PFX di GitHub," kata peneliti Talos.
"Kemampuan untuk mengundurkan diri dari driver yang retak ini menghilangkan penghalang jalan yang signifikan ketika mencoba melewati pemeriksaan DRM pada driver yang ditandatangani."
Bukan itu saja. HookSignTool juga digunakan oleh driver yang sebelumnya tidak berdokumen yang diidentifikasi sebagai RedDriver untuk memalsukan stempel waktu tanda tangannya.
Aktif setidaknya sejak 2021, ini berfungsi sebagai pembajak peramban berbasis driver yang memanfaatkan Platform Penyaringan Windows (WFP) untuk mencegat lalu lintas peramban dan mengalihkannya ke localhost (127.0.0.1).
Peramban target dipilih secara acak dari daftar hard-code yang berisi nama proses dari banyak peramban berbahasa Mandarin populer seperti Liebao, Peramban QQ, Sogou, dan Peramban UC, serta Google Chrome, Microsoft Edge, dan Mozilla Firefox.
"Awalnya saya menemukan RedDriver saat meneliti stempel waktu sertifikat pada driver Windows," kata Chris Neal, peneliti penjangkauan untuk Cisco Talos kepada The Hacker News.
"Itu adalah salah satu sampel pertama yang saya temui yang langsung mencurigakan. Yang menarik perhatian saya adalah daftar browser web yang disimpan di dalam file RedDriver."
Tujuan akhir dari pengalihan lalu lintas browser ini tidak jelas, meskipun tidak perlu dikatakan lagi bahwa kemampuan seperti itu dapat disalahgunakan untuk mengutak-atik lalu lintas browser pada tingkat paket.
Rantai infeksi RedDriver dimulai dengan eksekusi biner bernama "DnfClientShell32.exe", yang, pada gilirannya, memulai komunikasi terenkripsi dengan server perintah-dan-kontrol (C2) untuk mengunduh driver jahat.
"Kami tidak mengamati pengiriman file awal, tetapi kemungkinan besar file tersebut dikemas untuk menyamar sebagai file game, dan dihosting di tautan unduhan berbahaya," kata Neal.
"Korban mungkin mengira mereka mengunduh file dari sumber yang sah dan menjalankan file yang dapat dieksekusi. 'DNFClient' adalah nama file milik 'Dungeon Fighter Online' yang merupakan game yang sangat populer di China dan biasa disebut sebagai 'DNF .’”
"RedDriver kemungkinan dikembangkan oleh aktor ancaman yang sangat terampil karena kurva pembelajaran untuk mengembangkan driver jahat sangat curam," kata Cisco Talos.
"Sementara ancaman tampaknya menargetkan penutur asli bahasa Mandarin, penulisnya kemungkinan besar adalah penutur bahasa Mandarin juga."
"Para penulis juga menunjukkan keakraban atau pengalaman dengan siklus hidup pengembangan perangkat lunak, keahlian lain yang membutuhkan pengalaman pengembangan sebelumnya."[]
