微软暂停多个开发者账户以应对恶意驱动程序

关键要点

• 微软已暂停多个开发者程序账户，原因是这些账户获得了经过认证的驱动程序，并被怀疑用于部署勒索软件。
• 攻击者在使用驱动程序之前，已获得被攻陷系统的管理权限。
• 被影响的文件证书已在最新的补丁更新中被撤销。

Microsoft 在周二宣布，暂停了多个开发者程序账户，这些账户获得了由其 Windows硬件开发者程序认证的驱动程序，这些驱动程序可能导致电信、外包公司、托管安全服务提供商（MSSP）以及金融服务行业的勒索软件攻击。

在 中，微软表示，攻击者在使用这些驱动程序之前，已获得被攻陷系统的管理权限。多家安全组织在10月19日通知了位于华盛顿的红蒙公司，调查显示，多个 Microsoft 合作伙伴中心的开发者账户涉及提交恶意驱动程序以获得 Microsoft 的签名。

公告还指出，试图提交恶意驱动程序以获得签名的行为导致这些卖家的账户在10月初被暂停。

在微软最新的 中，被影响的文件证书已被撤销，卖家账户也被暂停。微软表示，已对被合法签名的驱动程序在恶意后期利用中的使用实施了封锁检测。

以下是几家安全组织对这一问题的反应：

，分析了恶意驱动程序是如何在被合法签名的情况下，绕过安全防护措施进行攻击的。

SentinelOne还提出推测，可能是某个供应商以“按需服务”的形式向付费的威胁行为者提供驱动程序签名服务，或者不太可能的是，有多个威胁行为者利用合法的驱动开发者的扩展验证（EV）证书来签名和提交恶意驱动程序。

Mandiant 在其 上表示，被识别为“UNC3944”的威胁组利用其中一个签名的恶意驱动程序来部署 STONESTOP和 POORTRY 恶意软件。该组自5月份以来一直活跃，具有经济动机，常通过 SMS 钓鱼获得网络访问权限。

与 SentinelOne 类似，Mandiant 认为，滥用驱动签名过程的威胁组“利用了一种通用的代码签名犯罪服务”。

“鉴于所识别出的不同公司名称和开发环境，Mandiant 怀疑存在服务提供商通过认证过程代表行为者签署这些恶意样本。”可惜的是，目前对此评估的信心较低。

在 中，微软还针对其产品发布了48个新漏洞的修复，其中六个被列为严重漏洞，相关信息可参考 。