Nvidia在今年的2月23日遭到黑客入侵,LAPSUS$ 黑客宣称自Nvidia系统上盗走了1TB的资料,包括驱动程序、固件或其它技术资料等,除了7.1万名Nvidia员工资料已在网络上流窜之外,黑客也公布了两个Nvidia的程序代码签章凭证,而且很快就遭到恶意程序的滥用,假冒为Nvidia驱动程序以进驻Windows平台。
程序代码签章凭证是用来签署驱动程序或执行文件,以让Windows操作系统或用户得以验证文件的源头,以及文件是否曾被篡改,因此,以Nvidia的程序签章凭证来签署文件,系统或用户就会以为该文件来自Nvidia而进行放行。
安全研究人员Bill Demirkapi在3月4日指出,黑客外泄了两个Nvidia的程序签章凭证,虽然这两个凭证已经过期,但Windows依旧允许这些过期的凭证来签署驱动程序。
图片来源/Bill Demirkapi
同一天另一名检测工程师Florian Roth就发现滥用了相关凭证的恶意程序,涵盖远程访问木马Quasar、安全测试工具Mimikatz,或是其它后门程序等。
图片来源/Florian Roth
负责操作系统安全性的微软副总裁David Weston则建议,Windows用户可以变更Windows Defender的应用程序控制政策(WDAC),以求限制或放行特定版本的Nvidia文件。