Специалисты по компьютерной безопасности обнаружили, что несколько хакерских групп использовали драйверы, подписанные Microsoft, для развёртывания программы-вымогателя Cuba. Это достаточно серьёзная проблема, поскольку многие службы безопасности безоговорочно доверяют всему, что подписано Microsoft. В рамках декабрьского вторника исправлений компания подтвердила отчеты сразу нескольких фирм (SentinelOne, Mandiant и Sophos) о злоумышленниках, использующих сертифицированный драйвер Windows Hardware Developer Program для распространения вредоносных программ.
Вредоносный драйвер использовался для того, чтобы обойти обнаружение антивирусом в уязвимых системах от нескольких поставщиков. Первые сведения об этом появились 19 октября. Mandiant определяет вредонос как Poortry, а его загрузчик — как Stonestop. По мнению этой фирмы, было подписано несколько семейств вредоносных программ. SentinelOne в свою очередь сообщила, что такие драйверы использовались для вторжения в системы телекоммуникаций, транспорта и развлечений, а также для атак на финансовые компании и сектор криптовалют.
Начиная с Windows 10, Microsoft стала требовать, чтобы все драйверы режима ядра были подписаны с помощью Windows Hardware Developer Center. Microsoft сделала это для борьбы с руткитами, которые позволяют злоумышленникам получить права суперпользователя на устройстве без ведома жертвы.
Исследователи Mandiant уверены, что для получения драйвера, подписанного Microsoft, злоумышленники незаконно приобрели сертификаты подписи кода с расширенной проверкой (EV), а затем прошли процесс подписания своего вредоносного ПО.
Microsoft провела расследование и заявила, что активность была «ограничена злоупотреблением несколькими учётными записями программ разработчиков». Компания приостановила действие связанных аккаунтов и отозвала сертификат для затронутых файлов.
