Управляющее резюме
Недавно Microsoft получила уведомление о том, что драйверы, сертифицированные в рамках программы Microsoft Windows Hardware Developer Program (MWHDP), злоумышленно использовались на этапе постэксплуатации атак. В ходе этих атак хакеры уже обладали административными привилегиями на скомпрометированных системах, после чего применяли драйверы для своих действий.Microsoft завершила расследование и установила, что инцидент ограничивался злоупотреблением несколькими учётными записями программы разработчиков. При этом не было выявлено никаких взломов учётных записей самой Microsoft. Все подозрительные учётные записи партнёров были заблокированы, а вредоносные драйверы — заблокированы для защиты клиентов от угроз.
Подробности
Microsoft выяснила, что драйверы, сертифицированные в рамках программы MWHDP, были использованы для выполнения атак на этапе постэксплуатации. Злоумышленники уже имели административные права на целевых системах, прежде чем воспользоваться драйверами. Расследование началось после уведомления от Sophos 9 февраля 2023 года. Дополнительные сведения предоставили компании Trend Micro и Cisco.В результате расследования было выявлено, что несколько учётных записей разработчиков в Microsoft Partner Center (MPC) отправили вредоносные драйверы для получения подписи Microsoft. Все такие учётные записи были немедленно заблокированы.
Microsoft выпустила обновления безопасности Windows (см. таблицу «Обновления безопасности»), которые блокируют доверие к драйверам и сертификатам подписи для затронутых файлов. Кроме того, была реализована защита через Microsoft Defender (версия 1.391.3822.0 и новее), чтобы предотвращать использование легитимных, но злоумышленно подписанных драйверов.
Для дополнительной информации о защите клиентов от отозванных сертификатов можно обратиться к статье «Уведомление о дополнениях к списку отзыва Windows Driver.STL» на сайте поддержки Microsoft.
Microsoft активно сотрудничает с участниками программы Microsoft Active Protections Program (MAPP), чтобы улучшить методы обнаружения угроз и защиту клиентов. Также в центре партнёров Microsoft разрабатываются долгосрочные решения для предотвращения подобных инцидентов в будущем.
Рекомендуемые действия
Microsoft настоятельно рекомендует всем клиентам:
- Установить последние обновления Windows.
- Обновить антивирусные продукты и средства защиты конечных точек до последних версий, чтобы предотвратить возможные атаки.
Часто задаваемые вопросы
Затрагивает ли эта проблема службы Microsoft (Azure, M365, Xbox и другие)?
Нет, расследование показало, что злоумышленные драйверы не оказывали влияния на какие-либо сервисы Microsoft.Как клиенты могут развернуть политику целостности кода, защищённую гипервизором (HVCI), для защиты своей среды?
Microsoft обновит чёрный список драйверов, что позволит клиентам заблокировать вредоносные файлы.
- Рекомендуется ознакомиться с правилами блокировки драйверов Microsoft для Windows 10.
- Включение HVCI автоматически применяет эти правила без необходимости их ручного развертывания.
Как определить, были ли установлены вредоносные драйверы до внедрения новых механизмов обнаружения?
Для обнаружения вредоносных драйверов, установленных до 2 марта 2023 года, может потребоваться автономное сканирование. Более подробные инструкции доступны в статье «Удалите вредоносное ПО с вашего ПК с Windows».
Последнее редактирование модератором:
