Les pirates abusent du service Microsoft Trusted Signing pour signer des malwares !
En abusant du service Microsoft Trusted Signing, les cybercriminels parviennent à signer les exécutables de logiciels malveillants avec des certificats de courte durée, facilitant ainsi le déroulement de leurs attaques. Faisons le point.
Une exploitation d'un service légitime
Les certificats numériques, et notamment ceux permettant la signature de code, sont une ressource importante pour les cybercriminels, car ils permettent de signer des malwares en leur conférant une apparence légitime. La signature améliore la réputation d'un exécutable et elle peut aider le malware à contourner certains filtres de sécurité qui bloquent généralement les fichiers non signés ou jugés suspects.
Le service Microsoft Trusted Signing, lancé en 2024 et disponible au travers du Cloud Azure, permet aux développeurs de signer leurs programmes par Microsoft. Cette signature, valide 3 jours, ajoute une certaine crédibilité et un gain de réputation à l'exécutable, y compris auprès du module de protection SmartScreen intégré à Windows. Ce service repose sur un abonnement mensuel de 9,99 dollars.
Cependant, des chercheurs ont observé que des pirates informatiques utilisaient ce service pour signer leurs malwares, avec ce certificat délivré par "Microsoft ID Verified CS EOC CA 01". Trois jours de validité, c'est très court et cela ne peut convenir qu'à des fins de tests. Néanmoins, bien que ces certificats expirent rapidement, les fichiers signés restent considérés comme valides jusqu'à leur révocation officielle : une porte ouverte pour les attaquants.
Un processus de vérification plus souple qu'avec les certificats EV
Traditionnellement, les pirates cherchaient à se procurer des certificats "Extended Validation" (EV), qui offrent un haut niveau de confiance, mais qui sont plus difficiles à obtenir. En effet, ces certificats nécessitent des procédures de vérification rigoureuses et peuvent coûter plusieurs milliers de dollars. Par la suite, lorsqu'un certificat EV est utilisé pour une campagne malveillante et qu'il est repéré, il est révoqué, ce qui le rend inutilisable pour d'autres attaques. Au final, c'est peu attractif pour les cybercriminels, et c'est tant mieux.
Face à ces difficultés, ils semblent aujourd'hui se tourner vers le service Trusted Signing de Microsoft, qui offre une alternative beaucoup moins contraignante. Pour un coût dérisoire, les pirates peuvent obtenir un certificat valide et améliorer la réputation de leur exécutable...
Comme l'explique le chercheur en cybersécurité "Squiblydoo" : "Je pense qu'il y a plusieurs raisons à ce changement. Pendant longtemps, l'utilisation de certificats EV était la norme, mais Microsoft a annoncé des changements à leur sujet. Cependant, ces changements ne sont clairs pour personne : ni pour les fournisseurs de certificats, ni pour les attaquants."
Pourquoi est-il si facile d'obtenir un certificat auprès du service Trusted Signing de Microsoft ? Voilà une question intéressante. Dans les faits, pour limiter les abus, Microsoft impose certaines restrictions. Une entreprise doit exister depuis au moins trois ans pour qu'un certificat soit issu sous son nom. Mais, il y a une alternative, plus souple : obtenir un certificat délivré directement sous le nom de l'individu. C'est exactement ce que font les attaquants, car il n'y a pas les mêmes conditions de vérification.
Alertée de ces abus par les chercheurs, Microsoft affirme avoir pris des mesures pour surveiller et identifier les certificats utilisés à des fins malveillantes : "Nous utilisons une surveillance active des menaces pour rechercher toute utilisation abusive de notre service de signature. Lorsque nous détectons des menaces, nous prenons immédiatement des mesures, telles que la révocation des certificats et la suspension des comptes. Les échantillons de malwares que vous avez partagés sont détectés par nos solutions antivirus, et nous avons déjà pris des mesures pour révoquer les certificats et prévenir tout abus ultérieur."
L'abus de ce service légitime souligne une fois de plus la capacité d'adaptation des cybercriminels...
