Лазейка в Windows позволила загружать вредоносные драйверы уровня ядра
Главная » Новости
Мониторинг ИТ-инфраструктурыВ эфире AM Live мы обсудим, как создать работающий мониторинг в ИТ, который работает на бизнес. От базовых принципов observability до внедрения SRE-подходов и управления надежностью через SLI/SLO. Разберем какие метрики использовать для мониторинга состояния сервисов, как строить платформу мониторинга и как интегрировать ее с ITSM, CI/CD и SecOps. Цель — превратить мониторинг из простого наблюдения в инструмент управления.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Лазейка в Windows позволила загружать вредоносные драйверы уровня ядра

Екатерина Быстрова 12 Июля 2023 - 11:04
...
Лазейка в Windows позволила загружать вредоносные драйверы уровня ядра

Microsoft заблокировала сертификаты для подписи кода, которые использовали китайские киберпреступники. Злоумышленники с помощью лазейки в политике Windows загружали вредоносные драйверы уровня ядра в атакуемые системы.

Как вы наверняка знаете, драйверы уровня ядра работают в системе с наивысшим привилегиями (Ring 0). Воспользовавшись такими правами, атакующие могут не только получить полный доступ к целевой машине, но и обеспечить себе незаметное извлечение данных и другую вредоносную активность.

Более того, заполучив на вооружение драйвер уровня ядра, киберпреступники могут завершать практически любой процесс в системе. Даже если речь идет о защитном софте, атакующие могут вмешаться в его работу.

 

С выходом Windows Vista Microsoft представила новую политику, описывающую, как именно драйверы уровня ядра могут загружаться в ОС. С тех пор разработчики должны присылать свои драйверы на проверку и подписывать их через портал для девелоперов.

Не обошлось и без исключений, поскольку Microsoft нужно было предусмотреть возможные ошибки в работе старых приложений. Корпорация решила позволить загружаться драйверам уровня ядра, если соблюдались следующие условия:

  • Пользователь обновил компьютер с более ранних версий ОС на Windows 10 1607.
  • Функция Secure Boot отключена в BIOS.
  • Драйверы были подписаны с помощью сертификата, выданного до 29 июля 2015 года (обратите внимание на этот пункт).

Об активности китайских киберпреступников рассказали специалисты Cisco Talos. Находчивые злоумышленники использовали инструменты с открытым исходным кодом — HookSignTool и FuckCertVerify — для модификации даты подписи вредоносных драйверов. Указав там число до 29 июля 2015 года, атакующие как раз очень удачно вписывались в третье исключение.

HookSignTool впервые появился в 2019 году на одном из китайских хакерских форумов. Инструмент задействует перехват Windows API вместе с легитимной подписью кода для пометки драйверов.

 

Интересно, что HookSignTool работает неидеально, оставляя в фейковой подписи артефакты. Благодаря этому исследователи всегда могут идентифицировать драйверы, подписанные HookSignTool.

 

В отдельном отчете Cisco описывается реальный пример — драйвер RedDriver, который как раз подписан с помощью HookSignTool.

Другой инструмент, получивший имя FuckCertVerify, китайские хакеры использовали для изменения временных меток подписи. Он доступен на GitHub с декабря 2018 года в качестве инструмента для читинга в играх.

Как отметили представители Microsoft, корпорация уже прикрыла лазейку и отозвала опасные сертификаты.

Следующая главная новость »
AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Microsoft закрыла две 0-day в Defender, которые уже используют в атаках
Екатерина Быстрова 21 Мая 2026 - 20:43
Windows Microsoft Windows Defender ЭксплойтыУязвимости программ Домашние пользователиКорпорации Персональный антивирусБесплатные антивирусы Microsoft
Microsoft закрыла две 0-day в Defender, которые уже используют в атаках

Microsoft срочно выкатывает патчи для двух уязвимостей во встроенном антивирусе Defender, которые уже эксплуатируются в реальных кибератаках. Получается, тот самый защитник Windows сам оказался точкой входа для злоумышленников.

Первая уязвимость — CVE-2026-41091 — затрагивает движок Microsoft Malware Protection. Из-за ошибки при обработке ссылок перед доступом к файлам злоумышленник может повысить привилегии до SYSTEM.

Вторая проблема — CVE-2026-45498 — находится в Microsoft Defender Antimalware Platform. Её эксплуатация позволяет вызвать отказ в обслуживании на незащищённых Windows-устройствах. Проще говоря, систему можно уронить или привести в нерабочее состояние.

Microsoft выпустила патчи в версиях Malware Protection Engine 1.1.26040.8 и Antimalware Platform 4.18.26040.7. Компания утверждает, что большинству пользователей ничего делать не нужно: Defender обычно обновляет движок и платформу автоматически.

Но полностью полагаться на «оно само» — идея для смелых. Лучше открыть Безопасность Windows → Защита от вирусов и угроз → Обновления защиты и вручную проверить наличие апдейтов. Особенно если устройство рабочее, серверное или просто жаль его отдавать под эксперименты атакующих.

CISA уже добавила обе уязвимости в каталог Known Exploited Vulnerabilities и обязала федеральные ведомства США закрыть их до 3 июня.

AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!
С 1 апреля в России меняются правила перевода денег, но не для всех
Новость
С 1 апреля в России меняются правила перевода денег, но не д...
Группа Астра уже выплатила баг-хантерам более 3 млн рублей
Новость
Группа Астра уже выплатила баг-хантерам более 3 млн рублей
Android-приложения для психического здоровья сливают ваши данные
Новость
Android-приложения для психического здоровья сливают ваши да...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.