南美黑客組織目前正在逐步公布從英偉達盜取的機密數據等,最新被泄露的則是英偉達使用的代碼簽名證書。
代碼簽名證書是用來對軟體進行簽名的防止遭到篡改,如果軟體遭到篡改則簽名會自動失效無法繼續驗證等。
英偉達發布的各類軟體以及驅動程序都有專用的數字簽名,這些數字簽名可以通過微軟驗證並提供安全保護。
黑客開始積極利用簽名:
不得不說這些黑客利用各種漏洞那是真快,僅僅在代碼簽名證書泄露幾天後就有黑客開始利用證書進行簽名。
當然黑客用來簽名的自然不是正常的軟體,安全研究人員已經發現多個惡意軟體攜帶英偉達的代碼簽名證書。
分類統計發現目前利用英偉達代碼簽名證書籤署的軟體包括惡意軟體、後門程序、遠程訪問木馬和其他類型。
當用戶打開這些惡意軟體時 Microsoft Defender 不會彈出警告,而UAC彈窗里則會顯示英偉達的公司名稱。
因此可以預計後續將會有大量惡意軟體利用英偉達簽名並冒充各種破解軟體或激活工具誘導用戶下載和安裝。
因為攜帶簽名所以具有非常高的迷惑性,這可能會造成比較嚴重的危害,微軟和英偉達當前都在積極處理中。
▲某個使用英偉達簽名的惡意軟體,大多數殺毒軟體均可成功識別
▲該惡意軟體攜帶的英偉達簽名
微軟為何不吊銷英偉達證書:
需要強調的是雖然Microsoft Defender目前不會彈出警告,但對於別識別出來的惡意軟體還是會直接殺掉。
有一種更簡單便捷的方式就是直接吊銷英偉達證書,只要吊銷後,這些惡意軟體嘗試打開時都會被直接攔截。
但就目前來說微軟無法將英偉達證書添加到吊銷列表,因為一旦添加後大量英偉達現有的軟體都會受到影響。
所以目前只能等待英偉達方面趕緊部署新證書然後替換各種軟體包,替換完成後再申請吊銷數字簽名就行了。
微軟提供臨時解決方案:
當下對微軟來說這個問題比較難處理,主要還是靠微軟防病毒軟體自動識別被簽名的惡意軟體然後進行攔截。
但微軟也給企業管理員提供方法,利用應用程式控制策略限制企業用戶只能下載安裝特定的英偉達驅動程序。
不過這個對個人用戶來說操作比較麻煩,對個人用戶來說當前也只能保持現狀並且不要下載來歷不明的軟體。
另外請裸奔的用戶務必安裝和啟用安全軟體,可以是系統自帶的也可以是其他的,但不要完全裸奔防止中毒。