Uutisoimme viime viikolla hakkeriryhmä Lapsus$:n hyökänneen NVIDIAn palvelimille ja varastaneen sieltä noin teratavun edestä dataa. Jo piakkoin hyökkäyksen jälkeen tietomurrosta vuoti tulevien NVIDIAn piirien tietoja, mutta sen lisäksi datamäärän seasta vaikuttaa vuotaneen myös kahdet NVIDIAn ajurien allekirjoitusavaimet.
Kyseiset allekirjoitusavaimet itsessään ovat vanhentuneita, mutta siitä huolimatta Windows hyväksyy näillä avaimilla varustettujen ohjelmistojen asentamisen järjestelmään. Tämän myötä haittaohjelmavalmistajat voivat mahdollisesti käyttää kyseisiä avaimia ja ohjelmistot voivat näyttäytyä tietokoneelle virallisia NVIDIAn sovelluksina.
VirusTotal-virustorjuntaohjelmiston tietojen mukaan kyseisiä allekirjoitusavaimia käyttäviä haittaohjelmia on jo liikkeellä.
Lähteet: TechPowerUp, Guru3D
Tjoo, näissä tapauksissa joku kuuma linja olisi hyvä olla mikkisoftan ja muiden toimijoiden välillä, että karanneet tunnisteet eivät aiheuttaisi havokkia.
Noniinno jos installeri hyväksyy 3,5v vanhoja certtejä mukisematta niin kyllä tuo prosessi on jo muiltakin osin aivan mättäällä. Et saattais tarvita tehdä jotain muutakin kun laittaa punainen puhelin seinään.
Niin toki käyttäjlle tulisi jättää mahdollisuus ainakin admin oikeuksilla hyväksyä vanha certti, jotta ne vanhat ajurit saa asennettua halutessan, mutta vanhojen certtien hyväksyminen hiljaa ei ole hyvä.
Tosiaan mulla on aikoinaan vanhassa sähköpostiohjelmassa jouduin aina välillä asentamaan/päivittämään sertifikaattia kun ne vanheni. Jos Windows ei herjaa tuosta vanhentumisesta niin WTF.
Sinänsä kyllä Windowsin pitäisi antaa käyttäjän ampua itseään jalkaan ja asentaa herjasta huolimatta, mutta sen herjan virheestä pitäisi tulla.
Taitaa tuo vanhojen certtien hyväksyntä koskea lähinnä noita ajureita. Kyllä windowssin root certti varaston varassa olevat selaimet ja sähköpostiohjelmat vetää hernun nenään, kun certti vanhenee. Aika hasardia sallia moinen laiteajurin kanssa.
Mikä idea on noihin certteihin edes laittaa viimeinen käyttöpäivä jos sitä ei kuitenkaan pakoteta noudattamaan millään lailla? Vai onko taas kyseessä joku ”vahva suositus” mikä on lähinnä ohjeellinen…
En tiedä miten asian puitteissa toimitaan mutta koskaan ei ole kyllä tullut vastaan että ajurin asentaminen blokataan sertifikaatin takia.
On vakio toimintatapa certifikaattien kanssa. Idea on rajoittaa certin voimassaolo siten, ettei sitä certtiä keritä brute force metodein rikkomaan ennenkuin se vanhenee.
Njoo tämä on tiedossa kyllä, mutta jos se voimassaolo on tässä tapauksessa ainakin ”ikuinen” niin eihän tuo silloin täytä tarkoitustaan?
Ei täytäkkään. Ja hommaan on luultavasti syynä se, ettei laitevalmistajaa kiinnosta pätkäkään tehdä uusilla serteillä allekirjoituksia vanhoille ajureille ja lähetellä mäsälle.
Joten ainut ns halpa ja helppo tapa edes hieman parantaa prosessia olisi, että windows vaatii admin oikeuksilla ajurin asentamisen ja vielä erikseen kysyy käyttäjältä, että haluatko nyt ihan varmasti asentaa ajurin vaikka certti on mooseksen ajoita.
Tuossa artikkelin kuvakaappauksessakin näkyy validfrom xx/2015 validto xx/2018. Varmaan se käyttäjä joka osaa admin oikilla ajuria asentaa osaa tai oppii lukemaan noita sertti infoja. Se ihan atk uuno (kuten vaikka oma faijja) muutenkin käyttää valmistajan ja/tai windows updaten tarjoamia ajureita ja kun homma lopettaa pelittämisen niin kone vaihtoon tai huoltofirmaan.