Microsoft schrapt verschillende hardware ontwikkelaarsaccounts. Drivers die aan de accounts gelinkt zijn, bleken namelijk betrokken bij ransomware-aanvallen.
Hardware en software dat een certificaat van een techgigant als Microsoft draagt, mag voor gebruikers geen twijfels meer opleveren over de kwaliteit van het product. De kwaliteitscontrole blijkt alleen niet altijd op punt te staan. Drivers die het certificaat dragen van het Windows Hardware Developer Program van Microsoft, werden namelijk ingezet in cyberaanvallen.
Kwaadaardige drivers
“We zijn op 19 oktober 2022 door SentinelOne, Mandiant en Sophos op de hoogte gebracht van deze activiteit en hebben vervolgens een onderzoek naar deze activiteit uitgevoerd. Uit dit onderzoek bleek dat verschillende ontwikkelaarsaccounts voor het Microsoft Partner Center bezig waren met het indienen van kwaadaardige stuurprogramma’s om een Microsoft-handtekening te verkrijgen. Een nieuwe poging om op 29 september 2022 een kwaadaardig stuurprogramma in te dienen voor ondertekening, leidde begin oktober tot de schorsing van de verkopersaccounts”, verklaart de techgigant verder.
Met de handtekening van het Windows-programma op zak, staat kwaadaardige code zo binnen bij beveiligingsplatformen. Om het certificaat te verkrijgen moeten ontwikkelaars namelijk verschillende stappen doorlopen: een EV-certificaat aanschaffen, een identificatieproces doorlopen en stuurprogramma’s indienen die door Microsoft werden gecontroleerd.
In korte tijd komt nu twee keer naar buiten dat Microsoft de beveiliging van drivers misschien toch niet zo serieus neemt. Een certificaat moet zekerheid over de beveiliging bieden en als kwaadaardige drivers door de mazen van het beveiligingsnet kunnen glippen, kan dat grote gevolgen hebben. Uit een ander onderzoek bleek dat voor zijn besturingsprogramma jarenlang een zwarte lijst met drivers die geblokkeerd moeten worden, links bleef liggen.
lees ook
Microsoft liet Windows jarenlang onbeschermd tegen kwaadaardige drivers
Cyberaanvallen
De gevolgen van kwaadaardige, gecertificeerde drivers binnenhalen zijn het risico op cyberaanvallen. Drivers zijn een populair aanvalsmiddel van hackers omdat ze vaak toegang nodig hebben tot de kernel van een besturingssysteem om je pc met een extern apparaat te linken.
De drie cybersecuritybedrijven die de problemen aan het licht brachten, zagen de drivers gebruikt worden voor ransomware-aanvallen, SIM swapping en smishing. Tegen deze laatste praktijken wil België zichzelf beter beschermen. Onlangs werd er daartoe twee miljoen euro uitgetrokken voor telecomoperatoren om hun beveiliging te verbeteren.