Microsoft har annullerat 13 sedan tidigare utgångna utvecklarcertifikat som har använts för att signera skadliga drivrutiner. De ingår i en ny våg av attacker med skadeprogram som utnyttjar en i sammanhanget ny metod för att kringgå Windows säkerhetssystem, skriver Ars Technica.
Säkerhetsforskare hos Cisco Talos gjorde upptäckten, och skriver om fynden efter att ha gett Microsoft tid att åtgärda problemet genom att annullera de utnyttjade certifikaten. Den grundbrist i säkerheten som ligger bakom kan Microsoft dock inte göra något åt utan att samtidigt göra många äldre program som fortfarande används obrukbara.
Hackarna bakom de nya skadeprogrammen utnyttjar en egenhet i den säkerhetsfunktion i Windows som innebär att drivrutiner normalt måste vara signerade med ett utvecklarcertifikat och kontrasignerat med ett Microsoft-certifikat. För drivrutiner signerade med ett giltigt utvecklarcertifikat innan 29 juli 2015 gäller inte den senare regeln, eftersom det skulle göra att samtliga drivrutiner släppta innan dess slutar fungera.
Två verktyg som utvecklades för att piratkopiera spel och kringgå DRM-skydd, "Hooksigntool" och "Fuckcertverifytimevalidity", kan signera drivrutiner med förfalskade datum, för i sin tur möjliggöra installation utan att signeras av Microsoft. Det använder utvecklarna av de nya skadeprogrammen för att ge dem ytterligare befogenheter i systemet.
Skadeprogrammen använder andra vägar för att först infektera datorn och skaffa administratörsbehörighet, och installerar sedan drivrutiner med falskt signaturdatum för att få kernel-behörighet. Till Microsoft, om det är möjligt, hittar en permanent lösning är det bästa försvaret mot den här typen av attacker ett bra antivirusprogram som stoppar den ursprungliga infektionen.
