【快讯】Cisco发现利用Windows策略漏洞加载恶意驱动程序的攻击

近日，Cisco Talos称其发现利用Windows策略漏洞加载恶意内核模式驱动程序的攻击活动。据悉，攻击者利用多种开源工具来改变内核模式驱动程序的签名日期，以加载使用过期证书签名的恶意和未经验证的驱动程序。在Windows Vista中，要求开发人员提交他们的驱动程序进行审核和签名。为了防止旧版应用出现问题，微软列出了三种例外情况，允许继续加载旧版内核模式驱动程序。攻击者利用了第三个策略，通过使用工具HookSignTool和FuckCertVerify，来更改恶意驱动程序的签名日期。