Les pirates signent les malwares avec les certificats NVIDIA
Mauvaise nouvelle : suite au piratage de NVIDIA, les pirates ont en leur possession deux certificats de signature de code qui permettent de signer numériquement des logiciels malveillants !
Pour rappel, NVIDIA a été victime d'une attaque informatique importante menée à bien par le groupe de cybercriminels LAPSU$. Les pirates ont pu exfiltrer 1 To de données, notamment avec des informations confidentielles sur les futurs produits de la marque, mais aussi les identifiants d'un peu plus de 71 000 salariés de NVIDIA. L'entreprise américaine a confirmé cette attaque, et désormais les pirates publient des informations petit à petit...
Cette fois-ci, on apprend que les pirates ont pu récupérer deux certificats de signature de code ! Avec ces certificats, les développeurs de NVIDIA étaient en mesure de signer leurs exécutables et leurs pilotes. Grâce à cette signature, les exécutables et les pilotes sont reconnus comme étant légitimes et l'utilisateur peut vérifier le propriétaire du fichier assez facilement. Autrement dit, cela permet de voir que c'est un exécutable signé par NVIDIA : ce qui est rassurant.
Les pilotes qui agissent au niveau du noyau de Windows doivent être également signés pour des raisons de sécurité : c'est pour cette raison que NVIDIA (et les autres fabricants) signe également ses pilotes.
Le problème, c'est que ces deux certificats sont entre les mains des pirates ! D'après des chercheurs en sécurité, ils ont même utilisé ces certificats pour signer différents logiciels malveillants (trojans, backdoors, etc.) ainsi que des outils comme Cobalt Strike et Mimikatz. D'ailleurs, des échantillons chargés sur VirusTotal montrent bien la présence de NVIDIA dans la liste des signataires.
D'après Kevin Beaumont et Will Dormann voici les deux numéros de série associés à ces certificats :
43BB437D609866286DD839E1D00309F5 14781bc862e8dc503a559346f5dcc518
Si vous avez regardé le lien VirusTotal ci-dessus (onglet "Details"), vous pouvez voir que le certificat est expiré depuis 2014 ! Malgré tout, Windows autorise un pilote signé avec ce certificat expiré, ce qui forcément pose problème. Les pirates sont en mesure de faire croire à Windows que le programme ou le pilote est légitime, car il est signé par un certificat NVIDIA.
Il faudrait que Microsoft ajoute ces deux certificats à la liste des certificats révoqués afin qu'ils ne soient plus utilisables. On peut imaginer que les développeurs de NVIDIA utilisent des certificats valident pour les pilotes et exécutables récents.
As part of the #NvidiaLeaks, two code signing certificates have been compromised. Although they have expired, Windows still allows them to be used for driver signing purposes. See the talk I gave at BH/DC for more context on leaked certificates: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd
— Bill Demirkapi (@BillDemirkapi) March 3, 2022