Les pirates signent les malwares avec les certificats NVIDIA

Mauvaise nouvelle : suite au piratage de NVIDIA, les pirates ont en leur possession deux certificats de signature de code qui permettent de signer numériquement des logiciels malveillants !

Pour rappel, NVIDIA a été victime d'une attaque informatique importante menée à bien par le groupe de cybercriminels LAPSU$. Les pirates ont pu exfiltrer 1 To de données, notamment avec des informations confidentielles sur les futurs produits de la marque, mais aussi les identifiants d'un peu plus de 71 000 salariés de NVIDIA. L'entreprise américaine a confirmé cette attaque, et désormais les pirates publient des informations petit à petit...

Cette fois-ci, on apprend que les pirates ont pu récupérer deux certificats de signature de code ! Avec ces certificats, les développeurs de NVIDIA étaient en mesure de signer leurs exécutables et leurs pilotes. Grâce à cette signature, les exécutables et les pilotes sont reconnus comme étant légitimes et l'utilisateur peut vérifier le propriétaire du fichier assez facilement. Autrement dit, cela permet de voir que c'est un exécutable signé par NVIDIA : ce qui est rassurant.

Les pilotes qui agissent au niveau du noyau de Windows doivent être également signés pour des raisons de sécurité : c'est pour cette raison que NVIDIA (et les autres fabricants) signe également ses pilotes.

Le problème, c'est que ces deux certificats sont entre les mains des pirates ! D'après des chercheurs en sécurité, ils ont même utilisé ces certificats pour signer différents logiciels malveillants (trojans, backdoors, etc.) ainsi que des outils comme Cobalt Strike et Mimikatz. D'ailleurs, des échantillons chargés sur VirusTotal montrent bien la présence de NVIDIA dans la liste des signataires.

D'après Kevin Beaumont et Will Dormann voici les deux numéros de série associés à ces certificats :

43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518

Si vous avez regardé le lien VirusTotal ci-dessus (onglet "Details"), vous pouvez voir que le certificat est expiré depuis 2014 ! Malgré tout, Windows autorise un pilote signé avec ce certificat expiré, ce qui forcément pose problème. Les pirates sont en mesure de faire croire à Windows que le programme ou le pilote est légitime, car il est signé par un certificat NVIDIA.

Il faudrait que Microsoft ajoute ces deux certificats à la liste des certificats révoqués afin qu'ils ne soient plus utilisables. On peut imaginer que les développeurs de NVIDIA utilisent des certificats valident pour les pilotes et exécutables récents.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4067 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.