Haittaohjelmistot voivat käyttää NVIDIAn tietomurrosta löytyneitä ajureiden allekirjoitusavaimia

[Diizzel]

Diizzel kirjoitti uutisen/artikkelin:
Uutisoimme viime viikolla hakkeriryhmä Lapsus$:n hyökänneen NVIDIAn palvelimille ja varastaneen sieltä noin teratavun edestä dataa. Jo piakkoin hyökkäyksen jälkeen tietomurrosta vuoti tulevien NVIDIAn piirien tietoja, mutta sen lisäksi datamäärän seasta vaikuttaa vuotaneen myös kahdet NVIDIAn ajurien allekirjoitusavaimet.

Kyseiset allekirjoitusavaimet itsessään ovat vanhentuneita, mutta siitä huolimatta Windows hyväksyy näillä avaimilla varustettujen ohjelmistojen asentamisen järjestelmään. Tämän myötä haittaohjelmavalmistajat voivat mahdollisesti käyttää kyseisiä avaimia ja ohjelmistot voivat näyttäytyä tietokoneelle virallisia NVIDIAn sovelluksina.

VirusTotal-virustorjuntaohjelmiston tietojen mukaan kyseisiä allekirjoitusavaimia käyttäviä haittaohjelmia on jo liikkeellä.

Lähteet: TechPowerUp, Guru3D

Linkki alkuperäiseen juttuun

 

[PutkisetaOy]

No eiköhän Microsoft tarjoa tähän päivityksen joskus vuonna 2024 tms...

 

[Hannibal]

Tjoo, näissä tapauksissa joku kuuma linja olisi hyvä olla mikkisoftan ja muiden toimijoiden välillä, että karanneet tunnisteet eivät aiheuttaisi havokkia.

 

[prc]

Tjoo, näissä tapauksissa joku kuuma linja olisi hyvä olla mikkisoftan ja muiden toimijoiden välillä, että karanneet tunnisteet eivät aiheuttaisi havokkia.

Noniinno jos installeri hyväksyy 3,5v vanhoja certtejä mukisematta niin kyllä tuo prosessi on jo muiltakin osin aivan mättäällä. Et saattais tarvita tehdä jotain muutakin kun laittaa punainen puhelin seinään.

 

[Obi-Lan]

Toisaalta jos blokkaa automaattisesti kaikki ajurit mitkä on allekirjoitettu vanhentuneilla serteillä, ei koneeseen pystyisi asentamaan mitään vanhempaa laitetta, jonka ajuri ei ole päivittynyt vuosikausiin mutta joka kuitenkin muuten toimisi.

 

[prc]

Toisaalta jos blokkaa automaattisesti kaikki ajurit mitkä on allekirjoitettu vanhentuneilla serteillä, ei koneeseen pystyisi asentamaan mitään vanhempaa laitetta, jonka ajuri ei ole päivittynyt vuosikausiin mutta joka kuitenkin muuten toimisi.

Niin toki käyttäjlle tulisi jättää mahdollisuus ainakin admin oikeuksilla hyväksyä vanha certti, jotta ne vanhat ajurit saa asennettua halutessan, mutta vanhojen certtien hyväksyminen hiljaa ei ole hyvä.

 

[leffo]

Mulla on aikoinaan vanhassa sähköpostiohjelmassa jouduin aina välillä asentamaan/päivittämään sertifikaattia kun ne vanheni. Jos Windows ei herjaa tuosta vanhentumisesta niin WTF.

Sinänsä kyllä Windowsin pitäisi antaa käyttäjän ampua itseään jalkaan ja asentaa herjasta huolimatta, mutta sen herjan virheestä pitäisi tulla.

 

[prc]

Mulla on aikoinaan vanhassa sähköpostiohjelmassa jouduin aina välillä asentamaan/päivittämään sertifikaattia kun ne vanheni. Jos Windows ei herjaa tuosta vanhentumisesta niin WTF.

Sinänsä kyllä Windowsin pitäisi antaa käyttäjän ampua itseään jalkaan ja asentaa herjasta huolimatta, mutta sen herjan virheestä pitäisi tulla.

Taitaa tuo vanhojen certtien hyväksyntä koskea lähinnä noita ajureita. Kyllä windowssin root certti varaston varassa olevat selaimet ja sähköpostiohjelmat vetää hernun nenään, kun certti vanhenee. Aika hasardia sallia moinen laiteajurin kanssa.

 

[pq]

Aika hasardia sallia moinen laiteajurin kanssa.

Mikä idea on noihin certteihin edes laittaa viimeinen käyttöpäivä jos sitä ei kuitenkaan pakoteta noudattamaan millään lailla? Vai onko taas kyseessä joku ”vahva suositus” mikä on lähinnä ohjeellinen...

 

[Harb]

On tietysti vähän hankalaa jos sertifikaatit vanhenevat sen jälkeen kun valmistajat eivät enää tuo uusia ajuripäivityksiä vanhalle raudalle.

En tiedä miten asian puitteissa toimitaan mutta koskaan ei ole kyllä tullut vastaan että ajurin asentaminen blokataan sertifikaatin takia.

 

[Obi-Lan]

Juuriongelma lienee, että Win ajurien teko ja ylläpito on jätetty valmistajille ja nämä ovat keskimääräisen huonoja hoitamaan hommaa. MS ei kuitenkaan varmaan halua näyttäytyä liikaa suunnitellun vanhenemisen ajajana. Tässä mielessä Linuxin avoimet ajurit kernelissä vaikuttaa paremmalta mallilta, en osaa sanoa vieläkö Applen koneisiin pystyy asentamaan 3rd party ajureita?

 

[prc]

Mikä idea on noihin certteihin edes laittaa viimeinen käyttöpäivä jos sitä ei kuitenkaan pakoteta noudattamaan millään lailla? Vai onko taas kyseessä joku ”vahva suositus” mikä on lähinnä ohjeellinen...

On vakio toimintatapa certifikaattien kanssa. Idea on rajoittaa certin voimassaolo siten, ettei sitä certtiä keritä brute force metodein rikkomaan ennenkuin se vanhenee.

 

[pq]

On vakio toimintatapa certifikaattien kanssa. Idea on rajoittaa certin voimassaolo siten, ettei sitä certtiä keritä brute force metodein rikkomaan ennenkuin se vanhenee.

Njoo tämä on tiedossa kyllä, mutta jos se voimassaolo on tässä tapauksessa ainakin ”ikuinen” niin eihän tuo silloin täytä tarkoitustaan?

 

[prc]

Njoo tämä on tiedossa kyllä, mutta jos se voimassaolo on tässä tapauksessa ainakin ”ikuinen” niin eihän tuo silloin täytä tarkoitustaan?

Ei täytäkkään. Ja hommaan on luultavasti syynä se, ettei laitevalmistajaa kiinnosta pätkäkään tehdä uusilla serteillä allekirjoituksia vanhoille ajureille ja lähetellä mäsälle.

Joten ainut ns halpa ja helppo tapa edes hieman parantaa prosessia olisi, että windows vaatii admin oikeuksilla ajurin asentamisen ja vielä erikseen kysyy käyttäjältä, että haluatko nyt ihan varmasti asentaa ajurin vaikka certti on mooseksen ajoita.

Tuossa artikkelin kuvakaappauksessakin näkyy validfrom xx/2015 validto xx/2018. Varmaan se käyttäjä joka osaa admin oikilla ajuria asentaa osaa tai oppii lukemaan noita sertti infoja. Se ihan atk uuno (kuten vaikka oma faijja) muutenkin käyttää valmistajan ja/tai windows updaten tarjoamia ajureita ja kun homma lopettaa pelittämisen niin kone vaihtoon tai huoltofirmaan.