Criminelen hebben door Microsoft gesigneerde drivers gebruikt bij ransomware-aanvallen op verschillende organisaties. Microsoft heeft inmiddels maatregelen genomen, waaronder het opschorten van de accounts die werden gebruikt om de drivers door Microsoft te laten signeren. Dat heeft het techbedrijf gisterenavond bekendgemaakt.

De afgelopen maanden bleek dat aanvallers bij aanvallen geregeld kwetsbaarheden in drivers gebruikten. Drivers draaien vaak met hoge rechten. Via de kwetsbaarheid in de driver kunnen de aanvallers hun eigen rechten verder verhogen en bijvoorbeeld beveiligingssoftware uitschakelen. Het ging dan bijvoorbeeld om drivers van Avast en MSI waar bekende kwetsbaarheden in aanwezig zijn.

Bij de aanvallen waarover Microsoft en securitybedrijven Mandiant, SentinelOne en Sophos nu berichten lukte het de aanvallers om hun eigen kernelmode-drivers door Microsoft gesigneerd te krijgen. Vanaf Windows 10 moeten alle kernelmode-drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die vervolgens signeren.

De drivers van de aanvallers waren zo gemaakt dat die moesten helpen om de beveiligingssoftware van de aangevallen organisaties uit te schakelen. Voordat de malafide drivers konden worden gebruikt hadden de aanvallers al beheerderstoegang tot één of meerdere systemen van de betreffende organisaties verkregen. Na ontdekking dat sommige accounts van het Windows Hardware Developer Program malafide drivers indienden werden deze accounts geschorst.

Verder heeft Microsoft de drivers op de blocklist van Windows geplaatst en detectie aan Microsoft Defender toegevoegd. Verschillende groepen aanvallers hebben volgens de securitybedrijven de malafide drivers gebruikt. Hoe de malafide drivers door de controle van Microsoft konden komen is niet bekendgemaakt.