Nvidia在今年的2月23日遭到駭客入侵,LAPSUS$ 駭客宣稱自Nvidia系統上盜走了1TB的資料,包括驅動程式、韌體或其它技術資料等,除了7.1萬名Nvidia員工資料已在網路上流竄之外,駭客也公布了兩個Nvidia的程式碼簽章憑證,而且很快就遭到惡意程式的濫用,假冒為Nvidia驅動程式以進駐Windows平臺。
程式碼簽章憑證是用來簽署驅動程式或執行檔,以讓Windows作業系統或使用者得以驗證檔案的源頭,以及檔案是否曾被竄改,因此,以Nvidia的程式簽章憑證來簽署檔案,系統或使用者就會以為該檔案來自Nvidia而予以放行。
資安研究人員Bill Demirkapi在3月4日指出,駭客外洩了兩個Nvidia的程式簽章憑證,雖然這兩個憑證已經過期,但Windows依舊允許這些過期的憑證來簽署驅動程式。
圖片來源/Bill Demirkapi
同一天另一名檢測工程師Florian Roth就發現濫用了相關憑證的惡意程式,涵蓋遠端存取木馬Quasar、安全測試工具Mimikatz,或是其它後門程式等。
圖片來源/Florian Roth
負責作業系統安全性的微軟副總裁David Weston則建議,Windows用戶可以變更Windows Defender的應用程式控制政策(WDAC),以求限制或放行特定版本的Nvidia檔案。
熱門新聞
2024-04-17
2024-04-18
2024-04-17
2024-04-15
2024-04-15
2024-04-15
Advertisement