南美黑客组织目前正在逐步公布从英伟达盗取的机密数据等,最新被泄露的则是英伟达使用的代码签名证书。代码签名证书是用来对软件进行签名的防止遭到篡改,如果软件遭到篡改则签名会自动失效无法继续验证等。英伟达发布的各类软件以及驱动程序都有专用的数字签名,这些数字签名可以通过微软验证并提供安全保护。
仅仅在代码签名证书泄露几天后就有黑客开始利用证书进行签名。当然黑客用来签名的自然不是正常的软件,安全研究人员已经发现多个恶意软件携带英伟达的代码签名证书。
分类统计发现目前利用英伟达代码签名证书签署的软件包括恶意软件、后门程序、远程访问木马和其他类型。当用户打开这些恶意软件时Microsoft Defender不会弹出警告,而UAC弹窗里则会显示英伟达的公司名称。
因此可以预计后续将会有大量恶意软件利用英伟达签名并冒充各种破解软件或激活工具诱导用户下载和安装,目前已经发现有恶意软件冒充英伟达驱动程序诱导用户安装。因为携带签名所以具有非常高的迷惑性,这可能会造成比较严重的危害,微软和英伟达当前都在积极处理中。
需要强调的是虽然Microsoft Defender目前不会弹出警告,但对于能识别出来的恶意软件还是会直接杀掉。有一种更简单便捷的方式就是直接吊销英伟达证书,只要吊销后,这些恶意软件尝试打开时都会被直接拦截。但就目前来说微软无法将英伟达证书添加到吊销列表,因为一旦添加后大量英伟达现有的软件都会受到影响。所以目前只能等待英伟达方面赶紧部署新证书然后替换各种软件包,替换完成后再申请吊销数字签名就行了。
微软提供临时解决方案:
当下对微软来说这个问题比较难处理,主要还是靠微软防病毒软件自动识别被签名的恶意软件然后进行拦截。但微软也给企业管理员提供方法,利用应用程序控制策略限制企业用户只能下载安装特定的英伟达驱动程序。不过这个对个人用户来说操作比较麻烦,对个人用户来说当前也只能保持现状并且不要下载来历不明的软件。另外请裸奔的用户务必安装和启用安全软件,可以是系统自带的也可以是其他的,但不要完全裸奔防止中毒。