Cisco、「Windowsの期限切れドライバ署名」の日付を偽造するマルウェア攻撃手法を報告

　CiscoのサイバーセキュリティチームCisco Talosは11日(現地時間)、オープンソースのソフトウェアを利用してカーネルモードドライバの署名を偽造することで、Windowsの署名ポリシーを回避してマルウェアをインストールおよび実行する手法を報告した。

　この手法では、攻撃者は「HookSignTool」や「FuckCertVerifyTimeValidity」といった、Windowsのドライバ署名の日付を偽造するソフトウェアを使用して、期限切れの証明書で署名された悪意のあるドライバをインストールし、そのドライバ経由でマルウェアをインストールおよび実行するという。

　Microsoftは、悪意のあるドライバへの対策として、Windows Vista 64bit以降のOSでカーネルモードドライバのデジタル署名を必須とし、Windows 10のバージョン1607以降では、開発者ポータルによる審査を受けていない新しいカーネルモードドライバの導入を禁止する署名ポリシーを導入している。

　しかし、このポリシーには例外があり、古いドライバの機能と互換性を維持するために、2015年7月29日以前に発行された証明書で署名されたドライバはインストールできるようになっている。

　本攻撃手法はこの例外を悪用したもので、2015年7月29日以前に発行または失効した、取り消されていない証明書を使用し、HookSignToolやFuckCertVerifyTimeValidityで署名を偽造することで、悪意のあるドライバのインストールを可能としている。

　この手法により悪意のあるドライバをインストールされると、攻撃者はカーネルレベルでシステムにアクセスできるため、深刻な脅威をもたらすという。Cisco Talosは、本攻撃手法で用いられている証明書のブロックを推奨しており、Microsoftは同チームの報告を受け、同証明書をブロックしたという。