黑客滥用两个过期的Nvidia程序签章凭证,骗取Windows允许以这些过期凭证散布恶意程序
Nvidia在今年的2月23日遭到骇客入侵,LAPSUS$ 黑客宣称自Nvidia系统上盗走了1TB的数据,包括驱动程序、固件或其它技术资料等,除了7.1万名Nvidia员工数据已在网络上流窜之外,黑客也公布了两个Nvidia的代码签章凭证,而且很快就遭到恶意程序的滥用,假冒为Nvidia驱动程序以进驻Windows平台。
程式码签名凭证是用来签署驱动程序或执行文件,以让Windows操作系统或用户得以验证档案的源头,以及文件是否曾被篡改,因此,以Nvidia的程序签名证书来签署档案,系统或用户就会以为该档案来自Nvidia而予以放行。
资安研究人员Bill Demirkapi在3月4日指出,黑客外泄了两个Nvidia的程序签名凭证,虽然这两个凭证已经过期,但Windows依旧允许这些过期的凭证来签署驱动程序。
图片来源/Bill Demirkapi
同一天另一名检测工程师Florian Roth就发现滥用了相关凭证的恶意程式,涵盖远程访问木马Quasar、安全测试工具Mimikatz,或是其它后门程序等。
图片来源/Florian Roth
负责操作系统安全性的微软副总裁David Weston则建议,Windows用户可以变更Windows Defender的应用程序控制政策(WDAC),以求限制或放行特定版本的Nvidia档案。
赞 (0)
打赏
微信扫一扫
微信扫一扫
