Cisco Talos Intelligence Groupは7月11日(米国時間)、「Old certificate, new signature: Open-source tools forge signature timestamps on Windows drivers」において、Windowsのポリシーの抜け穴を悪用してカーネルモードドライバの署名を偽造し、Windowsの証明書ポリシーをバイパスする脅威を観測したと報じた。

オープンソースのツールと2015年7月29日以前に失効したか、またはそれ以前に発行された失効していない証明書を使って、悪意のある未検証のドライバをロードできることが明らかになった。

  • Old certificate、new signature: Open-source tools forge signature timestamps on Windows drivers

    Old certificate, new signature: Open-source tools forge signature timestamps on Windows drivers

MicrosoftはWindows 10バージョン1607以降、ドライバ署名ポリシーを更新し、未署名の新しいカーネルモードドライバを許可しないよう設定している。ただしいくつかの例外があり、古いドライバの機能と互換性を維持するため、2015年7月29日以前に発行された証明書で署名されたドライバや、失効していない証明書で署名されたドライバなどに関しては許可するようにしている。

この例外を悪用するため、HookSignToolおよびFuckCertVerifyTimeValidityと呼ばれる署名タイムスタンプの偽造を可能にするオープンソースツールが使われていることがわかった。これらのツールはもともとはゲームチート開発コミュニティで開発されたもので、複数の脅威者がこれらのツールを悪用し、ゲームチートとは無関係な悪意のあるWindowsドライバを展開していることが確認されている。

HookSignToolは、Windows APIへのフックと正規のコード署名ツールのインポートテーブルの手動変更を組み合わせることで、署名プロセス中にドライバーの署名日の変更を可能にするドライバー署名偽造ツール。もともとは2019年に中国のソフトウェアクラッキングフォーラムで公開されたものとされ、2020年以降はGitHubで公開されている。

FuckCertVerifyTimeValidityはゲーム不正行為ソフトウェアに署名するために開発されたドライバー署名偽造ツール。2018年12月13日にGitHubで公開されており、HookSignToolほどの機能は有していないと評価されている。

Cisco Talosは、悪意のあるドライバをヒューリスティックに検出することは困難であり、ファイルハッシュまたは署名に使用された証明書に基づいてブロックするのが最も効果的であると説明している。また、Cisco Talosが得た情報はすべてMicrosoftに連携されており、対象の証明書がすべてブロックされるとともにセキュリティアドバイザリ - ADV230001が公開されている。