Hackers zetten opensource-software in om Windows-malware binnen te sluizen en de beperkingen voor stuurprogramma’s van Microsoft te omzeilen. Bovendien dringen zij binnen in de mees kritieke laag van het besturingssysteem: de Windows-kernel.
Twee softwaretools van GitHub worden door hackers misbruikt om malware te verspreiden op Windows-toestellen. Hackers kunnen zo inbreken in de Windows-kernel, waardoor ze toegang hebben tot de meest kritieke en gevoelige functies van het besturingssysteem.
Onderzoekers van Talos beveiligingsteam, onderdeel van Cisco, ontdekten de activiteiten. Volgens het rapport buiten Chinese hackerscollectieven de opensource-tools uit. De tools werden voorheen alleen ingezet voor het valsspelen in videogames. Nu werpen hackers zich op de tools.
Tools activeren uitzonderingsregel van Microsoft
Ze vonden een weg via een uitzonderingsregel die Microsoft zelf insteldde in de beperkingen die het oplegt aan stuurprogramma’s. De uitzondering geeft stuurprogramma’s die een certificaat dragen dat werd uitgeschreven voor 29 juli 2015 toegang tot Windowssystemen.
“Als gevolg hiervan zijn er meerdere open source-tools ontwikkeld om deze maas in de wet te benutten. Dit is een bekende techniek die vaak over het hoofd wordt gezien, ondanks dat het een ernstige bedreiging vormt voor Windows-systemen en relatief eenvoudig uit te voeren is, deels omdat de tooling openbaar beschikbaar is”, schrijven de onderzoekers.
Hackers ontwerpen eerst malware die ze willen binnenkrijgen in de Windows-kernel en voegen er een gestolen of vervallen Windows-certificaat aan toe dat werd uitgebracht voor 29 juli 2015. Vervolgens gebruiken ze de tools op GitHub om de CertTimeValidity-functie van Microsoft te bespelen. Die functie oordeelt of een certficaat in aanmerking komt voor de uitzonderingsregel van Microsoft.
Windows-update lost probleem deels op
Verschillende van deze certificaten werden bij naam genoemd door Talos. De onderzoekers brachten Microsoft ook op de hoogte van het probleem, waarop de Windows-bedenker de bekende certificaten alvast blokkeerden met de laatst uitgebrachte update.
Windows is een populair besturingsprogramma en trekt daarom de aandacht van hackers. Eén succesvol ontwikkelde malware is immers onmiddellijk te verspreiden naar een groot deel van de bevolking. Recent ontdekten andere beveiligingsonderzoekers een nieuwe ransomware die zich voordoet als een Windows-update.
15 uur geleden
