จากข่าว NVIDIA ยืนยันข่าวโดนแฮ็กระบบ แฮ็กเกอร์ได้ข้อมูลพนักงานและซอร์สโค้ด ตอนนี้วงการความปลอดภัยเริ่มตรวจพบมัลแวร์ที่ใช้ใบรับรองดิจิทัลของ NVIDIA ที่หลุดออกมา เซ็นรับรองไบนารีเพื่อเพิ่มความน่าเชื่อถือแล้ว

ความน่ากลัวของเรื่องนี้คือ ระบบปฏิบัติการ Windows ในปัจจุบัน (Windows 10 v1607 ขึ้นไป) มีนโยบายว่าจะยอมรับไดรเวอร์ที่เซ็นโดยใบรับรองดิจิทัล ที่ผ่านการตรวจสอบจากไมโครซอฟท์เท่านั้น (attestation signing) แต่ไมโครซอฟท์มีข้อยกเว้นเล็กๆ ให้ว่า ถ้าเป็นใบรับรองดิจิทัลที่ออกก่อน 29 กรกฎาคม 2015 ไมโครซอฟท์จะยอมรับไดรเวอร์เหล่านี้ด้วย เพื่อความเข้ากันได้ของไฟล์ไดรเวอร์เก่า

ประเด็นคือใบรับรองของ NVIDIA ที่หลุดออกมาเป็นวันที่ปี 2014 ทำให้ใบรับรองนี้ถูกนำไปใช้งานเพื่อให้ทะลุช่องโหว่นี้ได้ (ไฟล์ไดรเวอร์ปลอม เซ็นด้วยใบรับรองนี้แล้ว Windows ยอมรับ)

ไมโครซอฟท์ระบุว่ารับทราบเรื่องนี้แล้ว กำลังตรวจสอบและจะพิจารณาว่าจะป้องกันช่องโหว่นี้อย่างไร

As part of the #NvidiaLeaks, two code signing certificates have been compromised. Although they have expired, Windows still allows them to be used for driver signing purposes. See the talk I gave at BH/DC for more context on leaked certificates: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd

— Bill Demirkapi (@BillDemirkapi) March 3, 2022

ที่มา - The Register