Certificados roubados da Nvidia estão a ser usados para assinar malware
Depois do ataque realizado contra a Nvidia, por parte do grupo Lapsus, vários detalhes internos da empresa foram publicamente disponibilizados. Entre os quais encontram-se chaves de certificados digitais, que são usados para assinar os programas e drivers da empresa.
Estes certificados são usados para garantir que um determinado programa ou driver é legitimo, e como tal pode ser instalado no Windows – é uma medida de segurança que previne a instalação de drivers e conteúdos maliciosos no sistema por padrão.
No entanto, parece que os criminosos já estão a explorar os dados que foram revelados pelo ataque para usarem este certificado para programas maliciosos.
De acordo com o investigador de segurança Bill Demirkapi, foi descoberto que já se encontra malware a ser distribuído como tendo sido assinado com certificados da Nvidia, usando os conteúdos que o grupo LAPSUS disponibilizou publicamente.
Estes certificados permitem que os atacantes possam assinar drivers maliciosas, que são reconhecidas como “legitimas” pelo Windows. Apesar de o certificado encontrar-se expirado, isso não impede ainda que as drivers possam ser instaladas na mesma sobre o sistema operativo.
Isto pode ter graves consequências para os utilizadores. Uma vez que os programas passam a ser assinados, supostamente, com o nome da Nvidia, podem passar despercebidos por algumas das medidas de segurança do sistema operativo e até de alguns programas de segurança no sistema. Isto permitiria que drivers maliciosas possam ser instaladas, comprometendo seriamente a segurança do mesmo.
Como exemplo, um dos malwares descobertos a usar estes certificados teria na sua fonte programas de acesso remoto, que permitiriam aos atacantes acederem remotamente aos sistemas infetados para os mais variados fins. Tendo conta que o malware se encontra a ser propagado com um certificado digital da Nvidia, alguns poderiam considerar que seria algo seguro, e o próprio Windows pode permitir mais facilmente a instalação.
É importante notar que, apesar de os certificados estarem expirados, o Windows ainda permite que os mesmos sejam usados praticamente sem qualquer alerta de erros sobre tal.
Espera-se que a Microsoft adicione os certificados da Nvidia sobre a lista de certificados expirados do sistema, o que tecnicamente invalida este ataque. No entanto, enquanto isso não acontece, existe o potencial do malware afetar mais sistemas.