Des hackers signent des Malwares avec les certificats volés de Nvidia

Des hackers signent des Malwares avec les certificats volés de Nvidia

Nvidia a récemment été victime d’une cyberattaque pendant laquelle deux certificats de signature de code ont été volés par le gang de ransomware Lapsus$. Des hackers utilisent aujourd’hui ces certificats pour signer des Malwares. 

Des Malwares reconnus comme légitimes

Le 24 février dernier, Nvidia a subi une cyberattaque revendiquée par le gang de ransomware Lapsus$. Les hackers déclarent avoir volé 1 To de données et en ont publié 20 Go en guise de preuve.

Deux certificats de signature de code Nvidia, utilisés pour signer les pilotes et les exécutables, font partie des données volées. Les deux certificats exfitrés auraient déjà expiré en 2014 et 2018. Néanmoins, Windows accepte les certificats expirés pour les pilotes. 

Microsoft exige que les pilotes en mode noyau soient signés par code. Autrement, le système d’exploitation refusera d’ouvrir le fichier. En utilisant ces certificats pour signer un exécutable contenant un code malveillant, le Malware est reconnu comme légitime par Windows.

Selon les chercheurs de BleepingComputer, les programmes Cobalt Strike, Mimikatz, des portes dérobées et des chevaux de Troie d’accès à distance (RAT) font partie des menaces déployées grâce à ces certificats volés.

Un long processus de révocation

Pour empêcher les Malwares signés avec ces certificats d’être chargés avec le système d’exploitation, il est possible de créer manuellement une stratégie de pare-feu. Mais cela reste compliqué. Microsoft peut aussi révoquer ces certificats. Mais cela peut prendre du temps.

David Weston, directeur de la sécurité des entreprises et des systèmes d’exploitation chez Microsoft déclare qu’un administrateur peut configurer les politiques de contrôle d’application Windows Defender (WDAC). Le but est de déterminer quel pilote Nvidia spécifique peut être chargé sur le système.

Malheureusement,  la mise en œuvre de WDAC n’est pas à la portée de tous les utilisateurs. Les chercheurs espèrent que les certificats volés seront révoqués. Néanmoins, cela entraînera le blocage des pilotes NVIDIA légitimes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest