Foi recentemente descoberto que grupos de hackers encontram-se a explorar a plataforma Trusted Signing da Microsoft, com o objetivo de assinarem malware com certificados válidos mesmo que em curta duração.
Estes certificados são normalmente usados para assinalar que um software foi desenvolvido por uma determinada empresa. Isto garante mais legitimidade para o ficheiro, e ao mesmo tempo para alguns programas de segurança. Isto porque programas assinados tendem a ser excluídos de alguns filtros de proteção.
Os grupos tentam constantemente obter certificados de validação alargada, que são conhecidos como certificados EV. Estes são os que possuem mais reputação, pois são difíceis de se obter tendo em conta que passam por várias etapas de verificação da entidade associada.
No entanto, foi recentemente descoberto que existem alguns grupos de hackers que estão a explorar a plataforma da Microsoft Trusted Signing, de forma a criar certificados válidos de curta duração, com até três dias, mas que podem ser o suficiente para validar ficheiros executáveis de malware para uma campanha rápida.
Em causa encontram-se os certificados Microsoft ID Verified CS EOC CA 01, que permanecem ativos apenas por três dias, mas durante esse tempo possuem total validação como sendo verificados e verdadeiros, e podem ser usados pelo malware para escapar a alguns filtros mais apertados de software de segurança tradicional.
O Microsoft Trusted Signing é um serviço da Microsoft, lançado em 2024, que permite aos programadores assinarem rapidamente as suas aplicações para testes. A plataforma não é gratuita, mas permite aos atacantes terem um meio de obter estes certificados que podem ser usados em virtualmente qualquer software.
O objetivo destes certificados seria apenas para validação de testes, mas a realidade é que nada impede os mesmos de serem usados para outros ataques. A Microsoft alega ainda que os certificados desta plataforma podem ter a mesma reputação positiva nos filtros do SmartScreen que qualquer outro certificado mais longo.
Os investigadores descobriram que é possível aos atacantes usarem a plataforma da Microsoft de forma bastante mais simples do que tentarem obter um certificado completo EV, tendo em conta que possui a mesma reputação e o tempo fornecido é mais do que suficiente para certas campanhas de malware.
A Microsoft aparenta estar ciente desta situação, embora ainda se encontre a analisar a melhor forma de resolver o problema – por agora ainda sem uma solução prevista.
Nenhum comentário
Seja o primeiro!