Лазейка в Windows позволила загружать вредоносные драйверы уровня ядра

Екатерина Быстрова 12 Июля 2023 - 11:04

Домашние пользователи

...

Microsoft заблокировала сертификаты для подписи кода, которые использовали китайские киберпреступники. Злоумышленники с помощью лазейки в политике Windows загружали вредоносные драйверы уровня ядра в атакуемые системы.

Как вы наверняка знаете, драйверы уровня ядра работают в системе с наивысшим привилегиями (Ring 0). Воспользовавшись такими правами, атакующие могут не только получить полный доступ к целевой машине, но и обеспечить себе незаметное извлечение данных и другую вредоносную активность.

Более того, заполучив на вооружение драйвер уровня ядра, киберпреступники могут завершать практически любой процесс в системе. Даже если речь идет о защитном софте, атакующие могут вмешаться в его работу.

С выходом Windows Vista Microsoft представила новую политику, описывающую, как именно драйверы уровня ядра могут загружаться в ОС. С тех пор разработчики должны присылать свои драйверы на проверку и подписывать их через портал для девелоперов.

Не обошлось и без исключений, поскольку Microsoft нужно было предусмотреть возможные ошибки в работе старых приложений. Корпорация решила позволить загружаться драйверам уровня ядра, если соблюдались следующие условия:

Пользователь обновил компьютер с более ранних версий ОС на Windows 10 1607.
Функция Secure Boot отключена в BIOS.
Драйверы были подписаны с помощью сертификата, выданного до 29 июля 2015 года (обратите внимание на этот пункт).

Об активности китайских киберпреступников рассказали специалисты Cisco Talos. Находчивые злоумышленники использовали инструменты с открытым исходным кодом — HookSignTool и FuckCertVerify — для модификации даты подписи вредоносных драйверов. Указав там число до 29 июля 2015 года, атакующие как раз очень удачно вписывались в третье исключение.

HookSignTool впервые появился в 2019 году на одном из китайских хакерских форумов. Инструмент задействует перехват Windows API вместе с легитимной подписью кода для пометки драйверов.

Интересно, что HookSignTool работает неидеально, оставляя в фейковой подписи артефакты. Благодаря этому исследователи всегда могут идентифицировать драйверы, подписанные HookSignTool.

В отдельном отчете Cisco описывается реальный пример — драйвер RedDriver, который как раз подписан с помощью HookSignTool.

Другой инструмент, получивший имя FuckCertVerify, китайские хакеры использовали для изменения временных меток подписи. Он доступен на GitHub с декабря 2018 года в качестве инструмента для читинга в играх.

Как отметили представители Microsoft, корпорация уже прикрыла лазейку и отозвала опасные сертификаты.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 08 Апреля 2026 - 10:11

Соответствие законодательству РФ Домашние пользователи Государство

ЦИК подтвердил законность использования Telegram в предвыборной агитации

Центральная избирательная комиссия (ЦИК) подтвердила законность использования Telegram в ходе предвыборной агитации. В комиссии сослались на «Закон о выборах депутатов Госдумы»: согласно статье 62, кандидаты вправе самостоятельно выбирать содержание, формы и методы такой агитации.

О допустимости использования Telegram в предвыборной агитации ЦИК сообщила в ответ на запрос «Ведомостей». Исключение составляют только те платформы, доступ к которым ограничен Роскомнадзором.

Опасения по поводу использования Telegram для предвыборной агитации усилились после заявления ФАС от 5 марта. Тогда ведомство указало, что рассматривает размещение рекламы на ряде площадок, включая Telegram и YouTube, как возможное нарушение законодательства. Это вызвало заметный резонанс.

Однако уже через несколько недель позиция ФАС изменилась. Ведомство заявило, что до конца 2026 года не будет применять ограничительные меры в отношении тех, кто размещает рекламу на этих площадках.

Как рассказали «Ведомостям» представители основных партий, они стараются использовать те же платформы и инструменты, которыми пользуются потенциальные избиратели. Так, секретарь ЦК КПРФ по выборам Сергей Обухов отметил, что Telegram используют 65 млн россиян, а значит, это «серьёзная аудитория», которую нельзя игнорировать. В похожем ключе высказались и представители «Единой России» и «Новых людей».

При этом, как подчеркнул электоральный юрист Олег Захаров, использование Telegram для агитации всё же остаётся в определённой «серой зоне». В первую очередь это касается оплаты Telegram Ads, которую невозможно провести с избирательного счёта. Под вопросом остаётся и размещение рекламы по договорам с владельцами каналов.

Юрист Гарегин Митин назвал одной из главных сложностей возможные проблемы с доступом к платформе. Поэтому, по его мнению, партиям стоит также делать ставку на другие каналы — социальные сети, собственные интернет-ресурсы и электронную почту.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!