Certificats de signature de code pincés dans l'attaque Nvidia utilisée pour les logiciels malveillants
Les certificats appartenant à Nvidia qui ont été volés dans le cadre de la cyberattaque contre le fabricant de puces fin février 2022 sont actuellement utilisés pour signer du code malveillant, dans le but de pousser les logiciels malveillants au-delà des défenses automatisées.
Les packages malveillants signés avec les certificats Nvidia sont utilisés pour cibler les systèmes Windows. Nvidia a été ciblée par le gang de rançongiciels Lapsus$ fin février et les certificats en question ont été exfiltrés dans le cadre de l'attaque. Le volume récapitulatif de l'attaque Lapsus$ s'élevait à environ 1 To de données siphonnées des serveurs du fabricant de puces.
Les certificats expirés sont toujours acceptés par le système d'exploitation
En plus des certificats volés, Lapsus$ a également réussi à voler des schémas, des pilotes et des données hachées par e-mail et mot de passe appartenant à plus de 70 000 employés de Nvidia.
Des chercheurs en sécurité se sont rendus sur Twitter quelques jours après l'attaque initiale, signalant que les mêmes certificats étaient utilisés pour signer des binaires contenant des logiciels malveillants. Les charges utiles utilisant les certificats volés ont ensuite été identifiées comme des instances de Mimikatz, Cobalt Strike et des outils malveillants de porte dérobée et d'accès à distance.
Même si les certificats Nvidia volés ont expiré, les chercheurs ont découvert qu'ils étaient toujours utilisables pour signer des logiciels tels que des pilotes qui se déploieraient correctement sur les machines Windows.
Will Dormann, analyste des vulnérabilités au CERT, et Kevin Beaumont ont partagé les numéros de série des certificats Nvidia mal utilisés, qui sont les suivants :
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
Microsoft propose des techniques d'atténuation
Le directeur de la sécurité de l'entreprise et du système d'exploitation de Microsoft a tweeté un moyen de limiter ce que les pilotes Nvidia sont autorisés à charger sur le système, mais cela nécessite de peaufiner les paramètres dans les politiques de contrôle des applications Windows Defender, ce qui n'est pas exactement une chose facile à comprendre. utilisateurs à domicile, mais devrait toujours être utile aux entreprises et aux grands réseaux qui disposent d'un personnel dédié à la sécurité informatique.
Dans le cadre de son attaque contre Nvidia, le gang de rançongiciels Lapsus$ a exigé que le fabricant de puces rende tous ses pilotes open-source, ce qui n'arrivera évidemment jamais. Les pirates ont menacé de divulguer la source eux-mêmes, mais ce n'est encore qu'une menace à ce stade.