تم إساءة استخدام شهادات Microsoft الرقمية مرة أخرى للتوقيع على البرامج الضارة

تم القبض على Microsoft مرة أخرى وهي تسمح لشهاداتها الرقمية الشرعية بالتوقيع على البرامج الضارة في البرية ، وهو خطأ يسمح للملفات الضارة باجتياز فحوصات أمنية صارمة مصممة لمنعها من العمل على نظام التشغيل Windows.

تورط العديد من الجهات الفاعلة في مجال التهديد في إساءة استخدام التصريح الرقمي لشركة Microsoft ، والذي استخدموه لمنح Windows وتطبيقات أمان نقطة النهاية انطباعًا بأن برامج تشغيل النظام الضار قد تم اعتمادها على أنها آمنة من قِبل Microsoft. وقد أدى ذلك إلى تكهنات بأنه قد تكون هناك منظمة خبيثة واحدة أو أكثر تبيع توقيع السائق الضار كخدمة. بشكل عام ، حدد الباحثون تسعة كيانات مطورة منفصلة على الأقل أساءت استخدام الشهادات في الأشهر الأخيرة.

تم اكتشاف الانتهاك بشكل مستقل من قبل أربع شركات أمنية تابعة لجهات خارجية ، والتي قامت بعد ذلك بإبلاغ Microsoft بشكل خاص عنها. يوم الثلاثاء ، خلال التحديث الشهري لـ Microsoft يوم الثلاثاء ، أكدت الشركة النتائج وقالت إنها حددت أن الإساءة جاءت من عدة حسابات للمطورين وأنه لم يتم اكتشاف أي اختراق للشبكة.

قام صانع البرامج الآن بتعليق حسابات المطور وتنفيذ عمليات الكشف عن الحظر لمنع Windows من الوثوق بالشهادات المستخدمة للتوقيع على الشهادات المخترقة. كتب مسؤولو الشركة: “توصي Microsoft جميع العملاء بتثبيت آخر تحديثات Windows والتأكد من تحديث منتجات مكافحة الفيروسات واكتشاف نقاط النهاية بأحدث التوقيعات وتمكينها لمنع هذه الهجمات”.

التمهيدي التوقيع على التعليمات البرمجية

نظرًا لأن معظم السائقين لديهم وصول مباشر إلى النواة – جوهر Windows حيث توجد الأجزاء الأكثر حساسية من نظام التشغيل – تطلب Microsoft توقيعهم رقميًا باستخدام عملية داخلية للشركة تُعرف باسم التصديق. بدون هذا التوقيع الرقمي ، لن يقوم Windows بتحميل برنامج التشغيل. أصبحت المصادقة أيضًا وسيلة فعلية لمنتجات الأمان التابعة لجهات خارجية لتقرير ما إذا كان السائق جديرًا بالثقة. لدى Microsoft عملية منفصلة للتحقق من صحة برنامج التشغيل تُعرف باسم برنامج توافق أجهزة Microsoft Windows ، حيث تُجري برامج التشغيل اختبارات إضافية متنوعة لضمان التوافق.

لتوقيع برامج التشغيل بواسطة Microsoft ، يجب على مطور الأجهزة أولاً الحصول على شهادة التحقق من الصحة الموسعة ، والتي تتطلب من المطور إثبات هويته لمرجع مصدق موثوق به في Windows وتقديم ضمانات أمان إضافية. يقوم المطور بعد ذلك بإرفاق شهادة EV بحساب Windows Hardware Developer Program الخاص به. يقوم المطورون بعد ذلك بإرسال حزمة برنامج التشغيل الخاصة بهم إلى Microsoft للاختبار.

أوضح باحثون من SentinelOne ، إحدى شركات الأمان الثلاث التي اكتشفت إساءة استخدام الشهادة وأبلغت Microsoft بها بشكل خاص:

تكمن المشكلة الرئيسية في هذه العملية في أن معظم حلول الأمان تثق ضمنيًا في أي شيء موقع بواسطة Microsoft فقط ، وخاصة برامج تشغيل وضع kernel. بدءًا من Windows 10 ، بدأت Microsoft في طلب توقيع جميع برامج تشغيل وضع kernel باستخدام بوابة لوحة معلومات Windows Hardware Developer Center. لا يمكن تحميل أي شيء لم يتم توقيعه من خلال هذه العملية في إصدارات Windows الحديثة. في حين أن القصد من هذا المطلب الجديد هو الحصول على تحكم ورؤية أكثر صرامة على السائقين العاملين على مستوى النواة ، فقد أدرك الفاعلون المهددون أنه إذا كان بإمكانهم التلاعب بالعملية ، فسيكون لديهم الحرية في فعل ما يريدون. ومع ذلك ، فإن الحيلة هي تطوير برنامج تشغيل لا يبدو أنه ضار لفحوصات الأمان التي تنفذها Microsoft أثناء عملية المراجعة.

قالت Mandiant ، وهي شركة أمنية أخرى لاكتشاف الإساءة ، إن “العديد من عائلات البرامج الضارة المتميزة ، المرتبطة بجهات تهديد متميزة ، تم توقيعها من خلال برنامج توافق أجهزة Windows”. حدد باحثو الشركة تسعة أسماء منظمة على الأقل تسيء استخدام البرنامج. إلى جانب الوصول بطريقة ما إلى شهادات Microsoft ، تمكنت الجهات المهددة أيضًا من الحصول على شهادات EV من جهات إصدار الشهادات التابعة لجهات خارجية.