Nvidia’ya Yapılan Siber Saldırı Sonrası Çalınan “Code Signing” Sertifakaları Kullanılmaya Başlandı

Saldırganlar, Windows sistemlerde Malware dağıtmak için Nvidia’ya ait Code Signing sertifikalarını kullanmaya başladı. Bu sertifkalar ile sürücüleri imzalayarak sanki orjinal sürücü gibi windows sistemleri atlatmayı hedefliyorlar. Hatıryacağınız gibi, Nvidia geçen hafta bir siber saldırıya uğramış ve bir çok hassas veririni çalındığını doğrulamıştı.

Çalınan veriler arasında NVIDIA geliştiricileri tarafından sürücülerini ve yürütülebilir dosyalarını imzalamak için kullanılan iki çalıntı kod imzalama sertifikası bulunuyor.

As part of the #NvidiaLeaks, two code signing certificates have been compromised. Although they have expired, Windows still allows them to be used for driver signing purposes. See the talk I gave at BH/DC for more context on leaked certificates: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd

— Bill Demirkapi (@BillDemirkapi) March 3, 2022

Kod imzalama sertifikası, geliştiricilerin yürütülebilir dosyaları ve sürücüleri dijital olarak imzalamasına olanak tanıyor, böylece Windows ve son kullanıcılar dosyanın sahibini ve üçüncü bir tarafça değiştirilmediklerini doğrulayabilir. Çalınan her iki NVIDIA sertifikasının da süresi dolmuş olsa da Windows’un sertifikalarla imzalanmış bir sürücünün işletim sistemine yüklenmesine izin vermeye devam ettiği görüldü.

Microsoft’ta işletme ve işletim sistemi güvenliği müdürü David Weston, bilinen güvenlik açığı bulunan sürücülerin Windows’a yüklenmesini önlemek için, yöneticilerin hangi NVIDIA sürücülerinin yüklenebileceğini kontrol etmek için Windows Defender Uygulama Denetimi politikalarını yapılandırabileceğini tweetledi.

WDAC policies work on both 10-11 with no hardware requirements down to the home SKU despite some FUD misinformation i have seen so it should be your first choice. Create a policy with the Wizard and then add a deny rule or allow specific versions of Nvidia if you need

— David Weston (DWIZZZLE) (@dwizzzleMSFT) March 3, 2022

Bu durumun önümüzdeki günlerde büyük siber güvenlik istismarlarına yol açacağı düşünülüyor.

Kaynak: bleepingcomputer.com