ドライバの署名を偽造してマルウェアをインストールさせる攻撃手法

nagazou 曰く、　Cisco Talosが11日、Windowsの署名ポリシーを回避してマルウェアをインストールする手法について報告をしている。この手法では、オープンソースのソフトウェアを使用してカーネルモードドライバの署名を偽造、期限切れの証明書で署名された悪意のあるドライバをインストールすることでマルウェアを実行する（Cisco Talos、PC Watch）。

Microsoftは、Windows Vista 64bit以降のOSでカーネルモードドライバのデジタル署名を必須とする署名ポリシーを導入している。しかし、古いドライバとの互換性を保つために、2015年7月29日以前に発行された証明書で署名されたドライバは例外として許可していた。この攻撃手法では、2015年7月29日以前に発行または失効した、取り消されていない証明書を利用して悪意のあるドライバをインストールすることが可能となっている。

悪意のあるドライバがインストールされると、攻撃者はシステムにカーネルレベルでアクセスできるため、重大な脅威が生じる。Cisco Talosは、この攻撃手法で使用される証明書のブロックを推奨しており、Microsoftも同チームの報告を受けて、該当の証明書をブロックしたとしている。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | Windows

　関連ストーリー：
Microsoft の署名入りルートキット、また見つかる 2021年10月24日
Microsoft、悪意あるドライバに署名を与えてしまったと発表 2021年06月28日