AccueilSécuritéLes certificats de signature de code divulgués par Nvidia ont été utilisés...

Les certificats de signature de code divulgués par Nvidia ont été utilisés à mauvais escient

Dans le cadre de l’intrusion chez Nvidia, Lapsus a apparemment aussi volé deux certificats dits de signature de code et les a mis en circulation. Les chercheurs en sécurité découvrent les premiers logiciels malveillants qui ont été signés avec ces certificats et qui peuvent ainsi contourner les mécanismes de sécurité. Les API privées des pilotes privilégiés de Nvidia, révélées par les fuites, pourraient également s’avérer être un problème de sécurité.

Les deux certificats de signature de code qui semblent avoir été mis en circulation servent par exemple à signer les pilotes matériels afin que Windows les charge sans problème. Les versions 64 bits de Windows exigent en effet une signature numérique du fabricant pour toutes les extensions du noyau. Avec les certificats divulgués, les logiciels malveillants peuvent obtenir les droits les plus élevés – à savoir ceux du noyau – sur un système et se cacher ainsi très efficacement de l’utilisateur. Alternativement, les logiciels malveillants pourraient également obtenir ces droits en abusant des fonctions des pilotes Nvidia légitimes ; mais contrairement au scénario de signature de code, il s’agit jusqu’à présent d’un danger plutôt théorique.

L’expert en sécurité Florian Roth a déjà découvert plusieurs outils prétendument signés par NVidia, qui sont volontiers utilisés par les attaquants. Mimikatz, par exemple, gratte entre autres les hashs NTLM pour les attaques pass-the-hash de la mémoire vive des systèmes infectés et KDU offre un accès direct aux fonctions du noyau, avec lesquelles il est possible de cacher des processus par exemple. Une utilisation dans des logiciels malveillants réels, c’est-à-dire des ransomwares ou des rootkits, ne peut pas encore être observée, du moins dans les sources accessibles au public, a expliqué Roth à heise Security.

Les certificats de signature de code volés à NVidia ont certes déjà expiré en 2014 ou 2018. Mais ils peuvent être mais ils peuvent être utilisés à mauvais escientpour contourner l’obligation de signature des pilotes du noyau Windows. Celle-ci contient en effet quelques exceptions à la rétrocompatibilité, qui doivent permettre l’utilisation de pilotes plus anciens. Ainsi, Windows charge les pilotes même si le certificat a déjà expiré, mais était encore valable au moment de la signature. Pour cela, le binaire doit certes contenir un timestamp vérifié ; mais pour les pilotes antérieurs à 2015, cela ne s’applique pas non plus.

Les numéros de série des certificats volés sont « 43 BB 43 7D 60 98 66 28 6D D8 39 E1 D0 03 09 F5 » et « 14 78 1b c8 62 e8 dc 50 3a 55 93 46 f5 dc c5 18 ». Une règle Yara adaptée détecte ainsi les binaires signés et suspects. Selon la rumeur, le mot de passe pour la clé secrète était « nv1d1aRules ».

Plus d'articles