NVIDIAから流出した証明書を使用したマルウェアが出回っている

2024年6月27日

当記事のリンクにはアフィリエイト広告が含まれています。

NVIDIAがハッキング被害を受けて、情報の流出が主に報じられてきたが、ここに来てNVIDIAの証明書を使用したマルウェアが出回っている事が分かった。

NVIDIAから盗まれた証明書で署名され、NVIDIAのプログラムを装ったプログラムが、少なくとも2つ、マルウェアのサンプルデータベースVirusTotalに登場しているとのこと。

不正な証明書によって署名されたコードが悪意のあるものである可能性が高いため、確実に検出およびブロックされるように、対策を講じる、またはセキュリティポリシーや防御を見直す必要が出てくる。

Zoomのセキュリティ専門家Bill Demirkapi氏は、この証明書がWindowsカーネルレベルのドライバファイルに対する署名に使用される可能性があるという警告をTwitterで投稿している。

As part of the #NvidiaLeaks, two code signing certificates have been compromised. Although they have expired, Windows still allows them to be used for driver signing purposes. See the talk I gave at BH/DC for more context on leaked certificates: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd
— Bill Demirkapi (@BillDemirkapi) March 3, 2022

また、その後のツイートで、Windowsは「2015年7月29日以前に発行された証明書で署名されたドライバをタイムスタンプなしで受け入れる」仕様になっている事を付け加えて警告している。MicrosoftのWindowsドライバー署名ポリシーはこれを裏付けるもので、OSは「サポートされるクロス署名CAにチェーンする2015年7月29日より前に発行されたエンドエンティティ証明書で署名された」ドライバーを実行すると述べている。今回流出したNVIDIAの証明書は、まさにそのような存在で、2014年に有効期限が切れており、この証明書で署名されたコードは、正しい条件下では、証明書の有効期限が切れていても、Windowsに受け入れられてしまうのだ。

このような、期限切れのドライバーを認める動きがなぜ搭載されているのかだが、当時のWindows 10の新機能が、それまで署名されていなかったドライバーで問題を起こしてしまうため、それを防ぐための後方互換性のための取り組みとして搭載された。

The RegisterではMicrosoftに対して取材を申し込み、2014年の証明書が流出して以来、Windowsで被害が起きないためにどのような措置を取るつもりなのか尋ねている。広報担当者が言うには、「我々は、これらの新しいクレームに見ていると我々は我々の顧客が保護され続けるために必要なことを行う予定です」とのこと。

情報科学者のKevin Beaumont氏は、NVIDIAのプライベートな2014年版証明書で自分のドライバコードに署名し、それをVirusTotalにアップロードして、アンチウイルススキャナがそれを受け入れるかどうかをチェックしている人々がいることを発見した。

That escalated quickly #Lapsus
#Nvidia #LeakedCertificate

Mimikatzhttps://t.co/TrY6vL2mEE

KDUhttps://t.co/RDf6bnuArk pic.twitter.com/Jl4tpS5KEr
— Florian Roth (@cyb3rops) March 3, 2022